该名称指的是类似活动的群集,其中涉及Windows系统上以动态链接库(DLL)形式的Monero加密货币挖掘有效载荷。
Red Canary网络事件响应团队的情报分析师Tony Lambert说:“如果您拥有面向公众的Web服务器,那就应该对此有所关注。”
“观察到的活动没有针对性,并且可能在运行受Telerik支持的Web应用程序的任何Windows IIS服务器上发生,该服务器仍然容易受到CVE-2019-18935的攻击。”
由于Telerik的整合方式,蓝知更鸟的受害者可能没有意识到他们已受到攻击。
兰伯特说:“受此CVE影响的一些组织不知道自己是否容易受到攻击,因为Telerik普遍且不显眼地内置在其他Web应用程序中,因此最好的方法是简单地检查IIS Web服务器的Web访问日志以提及Telerik。
Red Canary研究人员指出,威胁参与者通过利用面向公众的Web应用程序(特别是那些使用Telerik UI for ASP.NET的Web应用程序,然后通过多种技术执行和持久化)来实现初始访问”。
获得访问权限后,该挖矿病毒将使用“远程桌面协议”访问特权系统,然后使用Windows资源管理器将其有效负载分发给尽可能多的远程系统。
在受感染的计算机上,它会通过滥用合法且不经常使用的Windows功能COR_PROFILER来持久存在。
在一次的攻击泄漏中,有人给被该挖矿病毒恶意泄露的账户提供了代理软件,并尝试使用不同种类的反向外壳有效载荷连接到外部系统。
研究人员说,他们观察到的最早的“蓝知更鸟”工具是去年12月形成的。兰伯特说,发现威胁目标是医疗保健到IT服务提供商的众多企业。
根据观察到的众多技术,Red Canary研究人员表示,Blue Mockingbird更可能为企业网络而不是个人消费者带来问题。
目标企业将看到受感染机器耗尽的计算资源,而IT或安全团队则消除了来自受影响环境的威胁,从而承受了更大的压力。