Злоумышленник, известный как Blue Mockingbird, использует уязвимости пользовательского интерфейса Telerik для компрометации серверов, установки маяков Cobalt Strike и майнинга Monero путем захвата системных ресурсов.
Уязвимость, использованная злоумышленником, — CVE-2019-18935, приводит к удаленному выполнению кода в библиотеке пользовательского интерфейса Telerik для ASP.NET AJAX.
Тот же злоумышленник был замечен в атаке на уязвимые серверы Microsoft IIS, которые использовали пользовательский интерфейс Telerik, в мае 2020 года, когда прошел год с момента выпуска обновлений безопасности поставщиком.
Удивительно, но сегодня исследователи Sophos сообщили, что Blue Mockingbird по-прежнему использует ту же уязвимость для запуска кибератак, согласно их данным обнаружения.
Чтобы использовать CVE-2019-18935, злоумышленники должны получить ключи шифрования, которые защищают сериализацию пользовательского интерфейса Telerik на цели. Это возможно либо путем эксплуатации другой уязвимости в целевом веб-приложении, либо с помощью CVE-2017-11317 и CVE-2017-11357.
Все еще есть допустимые цели, доступные для эксплуатации, потому что многие веб-приложения были проектами, в которые была встроена версия платформы пользовательского интерфейса Telerik, доступная на момент их разработки, а затем они были прекращены или вообще забыли об этом.
После получения ключей злоумышленники могут скомпилировать вредоносную DLL, содержащую код, который будет выполняться во время десериализации, и запустить ее в контексте процесса «w3wp.exe».