ظاهرا هزاران کامپیوتر و سرور - شماره تعمیرکار یخچال بالا پایین وایت هاوس - سازمانی به بدافزار معدنکاو رمزارز جدیدی آلوده شدهاند که رد آن به گروه مجرم سایبری موسوم به Blue Mockingbird میرسد. بدافزار مذکور، چندی پیش توسط تحلیلگر بدافزار شرکت امنیت سایبری ابری Red Canary شناسایی شد. محققان ادعا میکنند که گروه Blue Mockingbird احتمالا از ماه دسامبر سال ۲۰۱۹ مشغول به فعالیت بودهاند.
محققان ادعا میکنند گروه Blue Mockingbird سرورهای عمومی مجهز به ASP.NET را هدف قرار میدهند که از فریمورک Telerik بهعنوان رابط کاربری اصلی بهره میبرند. آنها از آسیبپذیری CVE-2019-18935 سوءاستفاده کرده و یک وبشل را در سرور قربانی جانمایی میکنند. مجرمان سایبری سپس از روش موسوم به Juicy Potato برای کسب دسترسی ادمین استفاده کرده و پیکربندی سرور را تغییر دستکاری میکنند. این اقدامها باعث میشود تا کد آلوده، پس از بوت شدن سرور نیز به فعالیت ادامه شود.
مجرمان سایبری پس از نفوذ و به دست گرفتن کنترل سیستم، نسخهای از بدافزار معدنکاو XMRRig را دانلود و نصب میکنند. این بدافزار، مانند بسیاری دیگر از معدنکاوهای غیرقانونی رمزارز، برای معدنکاوی رمزارز مونرو (XMR) استفاده میشود. این رمزارز ساختار حریم خصوصی و فعالیت ناشناس بسیار پیچیدهای دارد و بیش از تمامی انواع موجود، مورد سوءاستفادهی مجرمان قرار میگیرد.
متخصصان Red Canary میگویند که اگر سرورهای IIS عمومی به شبکههای داخلی سازمانها متصل باشند، مجرمان سایبری تلاش میکنند تا به شبکهی داخلی هم نفوذ کنند. آنها - شماره تعمیرکار یخچال بالا پایین وایت هاوس - با سوءاستفاده از ساختار RDP (مخفف Remote Desktop - شماره تعمیرکار یخچال بالا پایین وایت هاوس - Protocol) یا SMB (مخفف Server Messagd Block) ضعیف در شبکههای داخلی، به کامپیوترهای دیگر نفوذ میکنند.
شرکت امنیتی Red Canary در مصاحبهای که چندی پیش با ZDNet انجام داد، اعلام کرد که اطلاعات دقیقی از گستردگی عملیاتی گروه Blue Mockingbird در دست نیست. البته آنها تخمین میزدند که تاکنون هزار مورد آلودهسازی توسط بدافزار انجام شده باشد. فراموش نکنید که Red Canary چشمانداز محدودی نسبت به دامنهی فعالیت داشت و همین تعداد نفوذ هم نگرانکننده بهنظر میرسد. نمایندهی شرکت در مصاحبه میگوید: «ما مانند هر شرکت امنیتی دیگری، نگرش و دیدگاه محدودی نسبت به حوزهی نفوذ تهدید امنیتی داریم و بههیچوجه نمیتوانیم بهصورت دقیق، دامنهی فعالیت را تخمین بزنیم. این تهدید، درصد بسیار پایینی از سازمانهای تحت نظارت ما را آلوده کرده است. بههرحال ما در مدت کوتاهی توانستیم حدود هزار مورد آلودگی را در آن سازمانها تشخیص دهیم». درنهایت Red Canary اعتقاد دارد که احتمالا سازمانهای بسیار زیادی تحت تأثیر نفوذ و آلودگی - شماره تعمیرکار یخچال بالا پایین وایت هاوس - بودهاند. - شماره تعمیرکار یخچال بالا پایین وایت هاوس - بهعلاوه، آنهایی که تصور امن بودن دارند نیز شاید به بدافزار آلوده شوند.
همانطور که گفته شد، بخش رابط کاربری Telerik UI در سرورهای مجهز به ASP.NET، آسیبپذیری اصلی و راه - شماره تعمیرکار یخچال بالا پایین وایت هاوس - نفوذ را برای - شماره تعمیرکار یخچال بالا پایین وایت هاوس - مجرمان فراهم میکند. کارشناسان اعتقاد دارند این بخش در سرورهای مجهز به - شماره تعمیرکار یخچال بالا پایین وایت هاوس - آخرین نسخه از ASP.NET هم دیده میشود و در بسیاری موارد، شاید بهدرستی بهروز نشده باشد. همین بهروز نبودن رابط کاربری، شرکتها را در معرض خطرهای جدی قرار میدهد. - شماره تعمیرکار یخچال بالا پایین وایت هاوس - بسیاری از شرکتها و توسعهدهندهها احتمالا حتی نمیدانند که Telerik UI بهعنوان بخشی داخلی در اپلیکیشن آنها اجرا میشود.
پس از اینکه جزئیات آسیبپذیری Telerik UI در سال گذشته بهصورت عمومی منتشر شد، سوءاستفادههای زیادی از آن صورت گرفت. مجرمان سایبری با سوءاستفاده از اطلاعات، روشهای نفوذ خود را بهبود دادند - شماره تعمیرکار یخچال بالا پایین وایت هاوس - و راههای جدیدی برای تزریق بدافزار پیدا کردند. دراینمیان کارشناسان IT در سازمانها اطلاعات کاملی از اخبار نداشتند - شماره تعمیرکار یخچال بالا پایین وایت هاوس - و ساختار شرکت را در معرض خطر قرار دادند. بهعنوان مثال، - شماره تعمیرکار یخچال بالا پایین وایت هاوس - آژانس امنیت ملی ایالات متحده NSA، در ماه آوریل آسیبپذیریهای Telerik UI CVE-2019-18935 را در - شماره تعمیرکار یخچال بالا پایین وایت هاوس - صدر آسیبپذیریهایی قرار داد که - شماره تعمیرکار یخچال بالا پایین وایت هاوس - ازسوی مجرمان سایبری برای نصب وبشل در سرورها استفاده میشود.
از گزارشهای دیگر پیرامون آسیبپذیری خطرناک سروری میتوان به گزارش اخیر مرکز امنیت - شماره تعمیرکار یخچال بالا پایین وایت هاوس - سایبری - شماره تعمیرکار یخچال بالا پایین وایت هاوس - استرالیا ACSC اشاره کرد که چند روز پیش منتشر شد. این مرکز - شماره تعمیرکار یخچال بالا پایین وایت هاوس - نیز آسیبپذیری Telerik UI CVE-2019-18935 را بهعنوان یکی از پرکاربردترین ابزارها و روشهای نفوذ به سازمانهای استرالیایی در سالهای ۲۰۱۹ و ۲۰۲۰ نامید.
بسیاری از سازمانها احتمالا امکان بهروزرسانی اپلیکیشنهای آسیبپذیر را به جدیدترین نسخهها ندارند. در چنین مواردی آنها باید مطمئن شوند که رویکردهای نفوذ مبتنی بر Telerik UI CVE-2019-18935 در سطح - شماره تعمیرکار یخچال بالا پایین وایت هاوس - فایروال، مسدود میشود. اگر سازمانی به فایروال وب مجهز نباشد، باید - شماره تعمیرکار یخچال بالا پایین وایت هاوس - بهدنبال نشانههایی از نفوذ در سطح سرور و ورکاستیشن باشد. Red Canary اخیرا گزارشی منتشر کرد که نشانههای نفوذ با سوءاستفاده از آسیبپذیری مذکور را برای شرکتها و کارشناسان امنیتی شرح میدهد.
Red Canary در پایان مصاحبه - شماره تعمیرکار یخچال بالا پایین وایت هاوس - با ZDNet اطلاعات زیر را پیرامون حملههای Blue Mockingbird شرح میدهد: «ما مانند همیشه با انتشار اطلاعات سعی داریم تا - شماره تعمیرکار یخچال بالا پایین وایت هاوس - به تیمهای امنیتی کمک کنیم. آنها با تکیه بر اطلاعات میتوانند استراتژیهای تشخیصی قویتری توسعه دهند که تهدیدهای احتمالی علیه سیستمهایشان را بهتر شناسایی کنند. بهنظر ما بهتر است که تیمهای امنیتی، توانایی خود را در شناسایی مواردی همچون پایداری COR_PROFILE در سیستم و دسترسی اولیهی آن ازطریق آسیبپذیری Telerik، افزایش دهند».