Grupę Blue Mockingbird namierzyli na początku tego tygodnia informatycy pracujący w firmie Red Canary, która specjalizuje się w projektowaniu systemów zapewniających bezpieczeństwo chmurom obliczeniowym. Twierdzą oni, że pierwsze oznaki działalności tej grupy można było zauważyć pod koniec 2019 roku, ale dopiero obecnie zaatakowała ona systemy IT z pełną mocą.

Wstępna analiza pokazuje, że grupa Blue Mockingbird wyspecjalizowała się w przejmowaniu kontroli nad serwerami obsługującymi aplikacje ASP.NET, w których interfejs użytkownika (czyli element UI) wykorzystuję framerwork znany pod nazwą Telerik.

Zobacz również:

• Cyberobrona? Mamy w planach
• Co trzecia firma w Polsce z cyberincydentem
• Bitcoin osiąga najwyższy poziom od 18 miesięcy, ale kopanie kryptowalut nadal jest nieopłacalne

Hakerzy atakują takie serwery wykorzystując lukę CVE-2019-18935, umieszczając w ich powłokach internetowych skonstruowany przez nich malware. W kolejnym kroku wykorzystują technikę znana pod nazwą Juicy Potato, dzięki której uzyskują prawa dostępu przyznawane wyłącznie administratorom.

Po uzyskaniu pełnego dostępu do systemu przystępują do właściwego ataku, instalując na serwerze jedną z wersji aplikacji XMRRig, która wyszukuje i pozyskuje kryptowalutę Monero (XMR). Informatycy z Red Canary twierdzą, że szkodliwym oprogramowaniem tego typu zostało jak dotąd zainfekowanych ponad 1000 dużych systemów informatycznych, których administratorzy prawdopodobnie nie mają świadomości tego, z czym mają do czynienia.

Domniemają też, że systemów takich może być dużo więcej, ale na obecnym etapie nie mogą tego potwierdzić. Dlatego pracują intensywnie cały czas nad tym, aby stworzyć pełny obraz zagrożenia, jakie stwarza ten malware.

Tutaj Red Canary opublikował raport z poradami, jak firmy mogą skanować serwery poszukując w nich oznak, że zostały zaatakowane przez Blue Mockingbird.