旧版Telerik UI漏洞被利用于Cobalt Strike分发 媒体
利用三年前的漏洞进行攻击
重点摘要
最近的报告指出,威胁组织 Blue Mockingbird 利用 Telerik UI 库中的三年前的安全漏洞,来部署 Cobalt Strike 并进行 Monero 采矿。这一攻击方法与两年前针对未修补的 Microsoft IIS 服务器的利用手法相似。研究人员警告,此次攻击可能会加速数据外泄和勒索软件的传播。
根据 BleepingComputer 的报告,Blue Mockingbird 的新一轮攻击利用了 Telerik UI 库中存在的 CVE201918935 漏洞,借此导致 Cobalt Strike 的信标部署以及 Monero 采矿活动。这一安全漏洞之前大约两年前就已被用于攻击未修补的 Microsoft IIS 服务器。
Sophos 的安全研究团队发现,Blue Mockingbird 的新攻击还使用了可用的概念验证利用工具,该工具支持 DLL 编译的自动化。在攻击中,Blue Mockingbird 通过 Active Directory 组策略对象实现持久性。此外,攻击还绕过了 Windows Defender,采用典型的 AMSI 绕过方法,在下载 Cobalt Strike DLL 之前进行规避。同时,名为 crby26tdexe 的 XMRig 采矿器会作为第二阶段可执行文件部署,以进行 Monero 的采矿作业。
攻击细节描述漏洞名称CVE201918935受影响组件Telerik UI 库利用方式DLL 编译自动化主要目标Cobalt Strike信标与Monero采矿组织Blue Mockingbird根据研究者的分析,尽管 Blue Mockingbird 的最新攻击同样是出于经济动机,但其在最近使用 Cobalt Strike 的做法,可能会加速数据外泄和勒索软件的传播速度。保持系统的更新和对相关漏洞的修复将是抵御这类攻击的重要举措。
pioneer加速器官网入口