Home  >  Segurança

Hackers atacam milhares de sistemas corporativos através de vulnerabilidade

Analistas de malware dizem que ataque é executado através de aplicativos ASP.NET que usam a estrutura Telerik

Da Redação

26/05/2020 às 13h00

Foto: Shutterstock

Grupo de hackers rastreados sob o codinome de Blue Mockingbird pode ter infectado milhares de sistemas corporativos com um malware de mineração de criptomoeda. O grupo foi descoberto no início deste mês por analistas de malware da empresa de segurança em nuvem Red Canary, segundo informações do ZDNet. Acredita-se que o grupo esteja ativo desde dezembro de 2019.

Os pesquisadores dizem que o Blue Mockingbird ataca servidores públicos executando aplicativos ASP.NET que usam a estrutura Telerik para o componente de interface do usuário. Os hackers, segundo a reportagem, exploram a vulnerabilidade CVE-2019-18935 para plantar um shell da web no servidor atacado.

Depois de obter acesso total a um sistema, eles baixam e instalam uma versão do XMRRig, um aplicativo popular de mineração de criptomoeda para a criptomoeda Monero (XMR), explica a reportagem.

Os especialistas da Red Canary dizem que, se os servidores IIS voltados para o público estiverem conectados à rede interna de uma empresa, o grupo também tentará se espalhar internamente por meio de conexões RDP (Remote Desktop Protocol) ou SMB (Server Message Block) com pouca segurança.

Em uma entrevista por e-mail no início deste mês, a Red Canary disse ao ZDNet que eles não têm uma visão completa das operações desse botnet. "Como qualquer empresa de segurança, temos visibilidade limitada do cenário de ameaças e nenhuma maneira de conhecer com precisão todo o escopo dessa ameaça. […] Essa ameaça, em particular, afetou uma porcentagem muito pequena das organizações cujos objetivos monitoramos. No entanto, observamos aproximadamente 1.000 infecções nessas organizações e em um curto período de tempo", disse um porta-voz da Red Canary. Os analistas acreditam que o número de empresas afetadas pode ser muito maior.

Vulnerabilidade da Telerik UI

Segundo a reportagem, isso ocorre porque o componente vulnerável da interface do usuário Telerik pode fazer parte dos aplicativos ASP.NET que estão sendo executados em suas versões mais recentes; no entanto, o componente Telerik pode estar com várias versões desatualizadas, ainda expondo as empresas a ataques. Muitas empresas e desenvolvedores talvez nem saibam se o componente de interface do usuário Telerik faz parte de seus aplicativos, o que as deixa ainda mais vulneráveis.

As vulnerabilidades da interface vieram a público depois de ataques realizados no ano passado, como exemplifica a ZDNet:

Em um comunicado publicado no final de abril, a Agência de Segurança Nacional dos EUA (NSA) listou a vulnerabilidade Telerik UI CVE-2019-18935 como uma das vulnerabilidades mais usadas para plantar shells da Web em servidores. Em outro comunicado de segurança publicado na semana passada, o Australian Cyber Security Center (ACSC) também listou a vulnerabilidade Telerik UI CVE-2019-18935 como uma das vulnerabilidades mais exploradas para atacar organizações australianas em 2019 e 2020.

Em muitos casos, as organizações podem não ter a opção de atualizar seus aplicativos vulneráveis. Nesses casos, muitas empresas precisariam garantir o bloqueio das tentativas de exploração do CVE-2019-18935 no nível do firewall. Caso não tenham um firewall da Web, as empresas precisam procurar sinais de comprometimento no nível do servidor e da estação de trabalho, diz a reportagem.

A Red Canary divulgou um relatório com indicadores de comprometimento que as empresas podem usar para verificar servidores e sistemas em busca de sinais de um ataque do Blue Mockingbird.

"Como sempre, nosso objetivo principal na publicação de informações como essa é ajudar as equipes de segurança a desenvolver estratégias de detecção para técnicas de ameaças que provavelmente serão usadas contra elas. Dessa forma, acreditamos que é importante para a segurança avaliar sua capacidade de detectar coisas como persistência baseada em COR_PROFILER e acesso inicial via exploração de vulnerabilidade da Telerik", disse Red Canary ao ZDNet.

Tags