美國一家網(wǎng)絡(luò)安全公司的研究人員發(fā)現(xiàn)了一種新型的威脅，此威脅的終極目的是挖掘加密貨幣。

Red Canary Intel正在監(jiān)視一個新威脅，他們將其稱為 Blue Mockingbird(譯名藍色知更鳥)，因為它對多個組織進行了攻擊。

[[326034]]

該名稱指的是類似活動的群集，其中涉及Windows系統(tǒng)上以動態(tài)鏈接庫(DLL)形式的Monero加密貨幣挖掘有效載荷。

Red Canary網(wǎng)絡(luò)事件響應(yīng)團隊的情報分析師Tony Lambert說：“如果您擁有面向公眾的Web服務(wù)器，那就應(yīng)該對此有所關(guān)注。”

“觀察到的活動沒有針對性，并且可能在運行受Telerik支持的Web應(yīng)用程序的任何Windows IIS服務(wù)器上發(fā)生，該服務(wù)器仍然容易受到CVE-2019-18935的攻擊。”

由于Telerik的整合方式，藍知更鳥的受害者可能沒有意識到他們已受到攻擊。

蘭伯特說：“受此CVE影響的一些組織不知道自己是否容易受到攻擊，因為Telerik普遍且不顯眼地內(nèi)置在其他Web應(yīng)用程序中，因此最好的方法是簡單地檢查IIS Web服務(wù)器的Web訪問日志以提及Telerik。

[[326035]]

Red Canary研究人員指出，威脅參與者通過利用面向公眾的Web應(yīng)用程序(特別是那些使用Telerik UI for ASP.NET的Web應(yīng)用程序，然后通過多種技術(shù)執(zhí)行和持久化)來實現(xiàn)初始訪問”。

獲得訪問權(quán)限后，該挖礦病毒將使用“遠程桌面協(xié)議”訪問特權(quán)系統(tǒng)，然后使用Windows資源管理器將其有效負載分發(fā)給盡可能多的遠程系統(tǒng)。 

在受感染的計算機上，它會通過濫用合法且不經(jīng)常使用的Windows功能COR_PROFILER來持久存在。

在一次的攻擊泄漏中，有人給被該挖礦病毒惡意泄露的賬戶提供了代理軟件，并嘗試使用不同種類的反向外殼有效載荷連接到外部系統(tǒng)。

研究人員說，他們觀察到的最早的“藍知更鳥”工具是去年12月形成的。蘭伯特說，發(fā)現(xiàn)威脅目標是醫(yī)療保健到IT服務(wù)提供商的眾多企業(yè)。

根據(jù)觀察到的眾多技術(shù)，Red Canary研究人員表示，Blue Mockingbird更可能為企業(yè)網(wǎng)絡(luò)而不是個人消費者帶來問題。

目標企業(yè)將看到受感染機器耗盡的計算資源，而IT或安全團隊則消除了來自受影響環(huán)境的威脅，從而承受了更大的壓力。