行业新闻与博客

美国一家网络安全公司的研究人员发现了一种新型的威胁，该威胁提供了挖掘加密货币的有效载荷。

Red Canary Intel 正在监视一个新威胁，他们将其称为  Blue Mockingbird，  因为它对多个组织进行了机会攻击。 

该名称指的是类似活动的群集，其中涉及 Windows 系统上以动态链接库（DLL）形式的 Monero 加密货币挖掘有效载荷。 

Red Canary 网络事件响应团队的情报分析师 Tony Lambert 说：“如果您拥有面向公众的 Web 服务器，则应该对此有所关注。”

“观察到的活动没有针对性，并且可能在运行受 Telerik 支持的 Web 应用程序的任何 Windows IIS 服务器上发生，该服务器仍然容易受到 CVE-2019-18935 的攻击。”

由于 Telerik 的整合方式，蓝知更鸟的受害者可能没有意识到他们已受到攻击。 

兰伯特说：“受此 CVE 影响的一些组织不知道自己是否容易受到攻击，因为 Telerik 普遍且不显眼地内置在其他 Web 应用程序中，因此最好的方法是简单地检查 IIS Web 服务器的 Web 访问日志以提及 Telerik。

Red Canary 研究人员指出，威胁参与者“通过利用面向公众的 Web 应用程序（特别是那些使用 Telerik UI for ASP.NET 的 Web 应用程序，然后通过多种技术执行和持久化）来实现初始访问”。

获得访问权限后，该鸟将使用“远程桌面协议”访问特权系统，然后使用 Windows 资源管理器将其有效负载分发给尽可能多的远程系统。 

在受感染的计算机上，它会通过滥用合法的和不经常使用的 Windows 功能 COR_PROFILER 来持久存在。 

在一次事件中，谁给了恶意的鸟翅膀的人使用了代理软件，并尝试使用不同种类的反向外壳有效载荷连接到外部系统。

研究人员说，他们观察到的最早的“蓝​​知更鸟”工具是去年12月形成的。兰伯特说，发现这种威胁导致“从医疗保健到 IT 服务提供商的各种各样的企业”出现问题。

根据观察到的众多技术，Red Canary 研究人员表示，Blue Mockingbird 更可能为企业网络而不是个人消费者带来问题。目标企业将看到受感染机器耗尽的计算资源，而 IT 或安全团队则消除了来自受影响环境的威胁，从而承受了更大的压力。  

本文由机器译制