站长网 安全 “蓝色知更鸟”正在分析加密货币

“蓝色知更鸟”正在分析加密货币

该名称指的是类似活动的群集,其中涉及Windows系统上以动态链接库(DLL)形式的Monero加密货币挖掘有效载荷。 Red Canary网络事件响应团队的情报分析师Tony Lambert说:如果您拥有面向公众的Web服务器,那就应该对此有所关注。 观察到的活动没有针对性,并且

该名称指的是类似活动的群集,其中涉及Windows系统上以动态链接库(DLL)形式的Monero加密货币挖掘有效载荷。

 

Red Canary网络事件响应团队的情报分析师Tony Lambert说:“如果您拥有面向公众的Web服务器,那就应该对此有所关注。”

 

“观察到的活动没有针对性,并且可能在运行受Telerik支持的Web应用程序的任何Windows IIS服务器上发生,该服务器仍然容易受到CVE-2019-18935的攻击。”

 

由于Telerik的整合方式,蓝知更鸟的受害者可能没有意识到他们已受到攻击。

 

兰伯特说:“受此CVE影响的一些组织不知道自己是否容易受到攻击,因为Telerik普遍且不显眼地内置在其他Web应用程序中,因此最好的方法是简单地检查IIS Web服务器的Web访问日志以提及Telerik。

 

 

 

Red Canary研究人员指出,威胁参与者通过利用面向公众的Web应用程序(特别是那些使用Telerik UI for ASP.NET的Web应用程序,然后通过多种技术执行和持久化)来实现初始访问”。

 

获得访问权限后,该挖矿病毒将使用“远程桌面协议”访问特权系统,然后使用Windows资源管理器将其有效负载分发给尽可能多的远程系统。

 

在受感染的计算机上,它会通过滥用合法且不经常使用的Windows功能COR_PROFILER来持久存在。

 

在一次的攻击泄漏中,有人给被该挖矿病毒恶意泄露的账户提供了代理软件,并尝试使用不同种类的反向外壳有效载荷连接到外部系统。

 

研究人员说,他们观察到的最早的“蓝知更鸟”工具是去年12月形成的。兰伯特说,发现威胁目标是医疗保健到IT服务提供商的众多企业。

 

根据观察到的众多技术,Red Canary研究人员表示,Blue Mockingbird更可能为企业网络而不是个人消费者带来问题。

 

目标企业将看到受感染机器耗尽的计算资源,而IT或安全团队则消除了来自受影响环境的威胁,从而承受了更大的压力。

本文来自网络,不代表站长网立场,转载请注明出处:https://www.tzzz.com.cn/html/fuwuqi/anquan/2021/0628/11897.html

作者: dawei

【声明】:站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。
联系我们

联系我们

0577-28828765

在线咨询: QQ交谈

邮箱: xwei067@foxmail.com

工作时间:周一至周五,9:00-17:30,节假日休息

返回顶部