Blue Mockingbird exploite les applications web

Une campagne de minage de crypto-monnaies Monero nommée Blue Mockingbird exploite une vulnérabilité connue dans les applications Web basées sur le framework ASP.NET.

La campagne a été surnommée Blue Mockingbird par les analystes de Red Canary qui ont découvert l’activité malveillante. Des recherches ont révélé que les cybercriminels exploitent une vulnérabilité de dé-sérialisation, CVE-2019-18935, qui peut permettre l’exécution de code à distance. La faille se trouve dans l’interface utilisateur Progress Telerik d’ASP.NET AJAX.

AJAX signifie JavaScript asynchrone et XML. Il est utilisé pour ajouter un script à une page Web, le script est ensuite exécuté et traité par le navigateur.

blue mockingbird

La vulnérabilité réside spécifiquement dans la fonction RadAsyncUpload, selon les informations sur la faille dans la National Vulnerability Database. Celle-ci est exploitable lorsque les clés de chiffrement sont connues (via un autre exploit ou une autre attaque), ce qui signifie que toute campagne d’exploitation repose sur un enchaînement d’exploits.

Dans les attaques en question, les pirates derrière Blue Mockingbird découvrent des versions non patchées de l’interface utilisateur Telerik de ASP.NET, déploient le payload de minage Monero ‘XMRig sous forme de bibliothèque de liens dynamiques (DLL) sur les systèmes Windows, puis l’exécute et établit la persistance à l’aide de plusieurs techniques. De là, l’infection se propage latéralement à travers le réseau.

L’activité semble remonter au mois de Décembre, selon l’analyse, et s’est poursuivie jusqu’en Avril.

XMRig est open-source et peut être compilé en outillage personnalisé, selon l’analyse. Red Canary a observé trois chemins d’exécution distincts: Exécution avec rundll32.exe appelant explicitement la DLL d’exportation fackaaxv; exécution à l’aide de regsvr32.exe et de l’option de ligne de commande /s; et exécution avec le payload configuré en tant que DLL de service Windows.

«Chaque payload est compilé avec une liste standard de domaines de minage Monero couramment utilisés aux côtés d’une adresse de portefeuille Monero», ont expliqué des chercheurs de Red Canary, dans un article. “Jusqu’à présent, nous avons identifié deux adresses de portefeuille utilisées par Blue Mockingbird qui sont en circulation active. En raison de la nature privée de Monero, nous ne pouvons pas voir le montant de ces portefeuilles pour estimer le succès de la campagne. »

monero blue mockingbird

Pour établir la persistance, les pirates de Blue Mockingbird doivent d’abord élever leurs privilèges, ce qu’ils font en utilisant diverses techniques; par exemple, les chercheurs ont observés l’utilisation de l’exploit JuicyPotato pour augmenter les privilèges d’un compte virtuel IIS Application Pool Identity au compte NT Authority\SYSTEM. Dans un autre cas, l’outil Mimikatz (la version officielle signée) a été utilisé pour accéder aux informations d’identification pour la connexion.

Armé des privilèges appropriés, Blue Mockingbird a utilisé plusieurs techniques de persistance, notamment l’utilisation d’un détournement de COR_PROFILER COM pour exécuter un fichier DLL malveillant et restaurer des éléments supprimés, selon Red Canary.

«Pour utiliser COR_PROFILER, ils ont utilisé wmic.exe et les modifications du registre Windows pour définir les variables d’environnement et spécifier un payload DLL», a expliqué le document.

Blue Mockingbird aime se déplacer latéralement pour distribuer les payload de minage à travers une entreprise, ont ajouté les chercheurs. Les pirates font cela en utilisant leurs privilèges élevés et le protocole RDP (Remote Desktop Protocol) pour accéder aux systèmes privilégiés, puis l’Explorateur Windows pour ensuite distribuer les payloads aux systèmes distants.

Bien que Blue Mockingbird fasse déjà des vagues, la boîte à outils est encore en cours de progression.

“Nous avons observé que Blue Mockingbird expérimentait apparemment différents outils pour créer des proxys SOCKS pour le pivotement”, ont déclaré les chercheurs. «Ces outils comprenaient un proxy inverse rapide (FRP), Secure Socket Funneling (SSF) et Venom. Dans un cas précis, le pirate a également bricolé avec des shells TCP inversés PowerShell et un shell inversé sous forme de DLL. »

Comment se protéger contre la campagne Blue MockingBird?

Pour se protéger contre cette menace, gardez vos serveurs, applications Web et dépendances des applications à jour pour empêcher l’accès initial, selon Red Canary.