به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان شرکت امنیتی «Red Canary» با انتشار گزارشی اعلام کردند گروه هکری بلوماکینگبرد (Blue Mockingbird) هزاران سیستم سازمانی را هدف قرار داده است.
گروه بلوماکینگبرد سرورهای عمومی مجهز به برنامه ASP.NET را که از نسخههای آسیبپذیر فریمورک Telerik استفاده میکنند، موردتهاجم قرار داده است.
هکرها با استفاده از آسیبپذیری CVE-2019-18935 به این سرورها نفوذ کرده و در آنها وب شلهایی را نصب کردهاند. سپس با استفاده از تکنیک «Juicy Potato» امتیاز ادمین را به دست آورده و تنظیمات سرور را تغییر دادهاند تا در سیستم ماندگار شوند.
مهاجمان در مرحله پایانی آلودگی در سیستمهای هک شده ماینر XMRRig را جهت استخراج ارز مونرو نصب کردهاند.
هکرهای بلوماکینگبرد زمانی که سرورهای IIS عمومی به شبکه داخلی شرکت متصل باشند، با استفاده از پروتکلهای ضعیف «RDP» و «SMB» سیستمهای داخلی را نیز هدف قرار میدهند.
پیشتر آژانس امنیت ملی آمریکا در خصوص آسیبپذیری یادشده هشدار داده بود و آن را یکی از پراستفادهترین نقص امنیتی برای نصب وبشل توصیف کرده بود.
مرکز امنیت سایبری استرالیا نیز در ماه می 2020 این حفره امنیتی را در لیست آسیبپذیریهای خطرناکی قرار داده بود که مهاجمان طی سالهای 2019 تا 2020 با بهرهگیری از آنها سازمانهای این کشور را هدف قرار داده بودند.
