เมื่อช่วงปลายเดือนที่ผ่านมา Red Canary ทีมวิเคราะห์ด้านความปลอดภัยจากบริษัท cloud security ตรวจพบระบบงานของบริษัทขนาดใหญ่กว่า 1,000 บริษัท ที่ถูกโจมตีด้วย cryptocurrency mining malware และอาจถูกควบคุมจากกลุ่ม Blue Mockingbird ซึ่งเชื่อว่าการเริ่มปฎิบัติการตั้งแต่เดือนธันวาคม 2019 มาแล้วจนถึงปัจจุบัน โดยกลุ่ม Blue Mockingbird จะทำการโจมตีไปยัง Server ทั่วไปที่มีการใช้งาน ASP.NET apps และ Telerik framework เพื่อใช้จัดการ user interface (UI) ซึ่งกลุ่มแฮกเกอร์ใช้ช่องโหว่ CVE-2019-18935 เพื่อทำการวาง web shell บนเครื่องเป้าหมายและใช้เทคนิค the Juicy Potato เพื่อเข้าถึงสิทธิ์ระดับ Admin และแก้ไขค่า Config ต่าง ๆ ของ Server หลังจากนั้นจะดาวน์โหลดและติดตั้ง XMRRig เพื่อสามารถขุด Monero (XMR) cryptocurrency

Red Canary อธิบายเพิ่มว่าโดยส่วนใหญ่ IIS servers จะมีการเชื่อมต่อไปยังระบบเครือข่ายภายในขององค์กร ซึ่งกลุ่มแฮกเกอร์จะพยายามแพร่กระจาย malware ผ่าน RDP (Remote Desktop Protocol) หรือ SMB (Server Message Block) ด้วย Telerik UI component และช่องโหว่นี้เป็นส่วนหนึ่งของ ASP.NET เวอร์ชันล่าสุด ซึ่งตัว Telerik component หลาย ๆ ตัวก็อาจเป็นเวอร์ชันเก่า ๆ ทำให้องค์กรเกิดช่องโหว่ในการโจมตีได้ โดยหลายบริษัทและผู้พัฒนาโปรแกรมยังไม่ทราบว่า Telerik UI component ถูกใช้งานและเป็นส่วนหนึ่งของโปรแกรมด้วย โดย US National Security Agency (NSA) และ Australian Cyber Security Centre (ACSC) ยังได้ทำการแจ้งเตือนช่องโหว่ CVE-2019-18935 ของ Telerik UI  ว่าเป็นช่องโหว่ที่ต้องเฝ้าระวัง ซึ่งถ้าหากไม่สามารถอัปเดตได้ทันที ให้ทำการ block ช่องโหว่ที่พยายามโจมตีด้วย CVE-2019-18935 ที่อุปกรณ์ Firewall หรือสแกนเครื่อง server และ workstation ด้วย Indicators of compromise ตามที่ Red Canary รายงานก็สามารถช่วยได้เช่นกัน

ที่มา:

• https://www.zdnet.com/article/thousands-of-enterprise-systems-infected-by-new-blue-mockingbird-malware-gang
• https://redcanary.com/blog/blue-mockingbird-cryptominer

ภาพถ่ายโดย : André François McKenzie on Unsplash