Cyberthreat.id – Jika di hutan sub tropis dan pegunungan Meksiko, maka nama Blue Mockingbird merujuk pada keindahan bulu burung dan kicaunya yang merdu. Pandangan berbeda muncul di dunia siber, nama itu adalah julukan untuk geng penjahat siber yang beroperasi dalam penambang cryptocurency.

Laman threatpost.com melaporkan, penjahat dunia maya itu, Blue Mockingbird, menggunakan kerentanan deserialisasi, CVE-2019-18935, untuk mencapai eksekusi kode jauh sebelum bergerak lateral melalui perusahaan.

Operasi penambangan cryptocurrency Monero telah muncul mengeksploitasi kerentanan dalam aplikasi web yang dibangun di atas kerangka web open-source ASP.NET. Para analis Red Canary menjuluki operasi penjahat siber itu sebagai Blue Mockingbird.

Hasil penelitian Red Canary menemukan geng kriminal cyber itu mengeksploitasi kerentanan deserialisasi, CVE-2019-18935, yang dapat memungkinkan eksekusi kode jarak jauh. Bug ini ditemukan dalam penawaran front-end Progress Telerik UI untuk ASP.NET AJAX.

AJAX adalah singkatan dari Asynchronous JavaScript and XML; Ini digunakan untuk menambahkan skrip ke halaman web yang dieksekusi dan diproses oleh browser. Progress Telerik UI adalah overlay untuk mengendalikannya pada implementasi ASP.NET.

Kerentanan terletak khusus pada fungsi RadAsyncUpload, sesuai dengan penulisan bug di dalam National Vulnerability Database. Ini dapat dieksploitasi ketika kunci enkripsi diketahui (melalui exploit lain atau serangan lainnya), yang berarti bahwa setiap kampanye bergantung pada rangkaian eksploitasi.

Dalam serangan saat ini, penyerang Blue Mockingbird mengungkap versi Telerik UI yang belum ditambal untuk ASP.NET, menyebarkan muatan penambangan XMRig Monero dalam bentuk dynamic-link library (DLL) pada sistem Windows, kemudian menjalankannya dan membangun serangan menggunakan beberapa teknik. Dari sana, infeksi merambat secara lateral melalui jaringan.

Aktivitas tersebut tampaknya merentang kembali ke Desember, menurut analisis, dan berlanjut hingga setidaknya April.

XMRig adalah open-source dan dapat dikompilasi ke dalam custom tooling, menurut analisis. Red Canary telah mengamati tiga jalur eksekusi yang berbeda: Eksekusi dengan rundll32.exe secara eksplisit memanggil fackaaxv ekspor DLL; eksekusi menggunakan regsvr32.exe menggunakan opsi baris perintah / s; dan eksekusi dengan payload yang dikonfigurasi sebagai DLL Layanan Windows.

“Setiap muatan dilengkapi dengan daftar standar domain penambangan Monero yang biasa digunakan di samping alamat dompet Monero,” jelas para peneliti di Red Canary, dalam sebuah tulisan yang dikutip Red Canary. “Sejauh ini, kami telah mengidentifikasi dua alamat dompet yang digunakan oleh Blue Mockingbird yang berada dalam sirkulasi aktif. Karena sifat pribadi Monero, kita tidak dapat melihat keseimbangan dompet ini untuk memperkirakan keberhasilan mereka."

Untuk membangun serangan, aktor Blue Mockingbird harus terlebih dahulu meningkatkan hak istimewa mereka, yang mereka lakukan dengan menggunakan berbagai teknik; misalnya, peneliti mengamati mereka menggunakan eksploitasi JuicyPotato untuk meningkatkan hak istimewa dari akun virtual Pool Application Identity IIS ke akun NT Authority \ SYSTEM.

Dalam contoh lain, alat Mimikatz (versi yang ditandatangani resmi) digunakan untuk mengakses kredensial untuk masuk.

Berbekal hak istimewa yang tepat, Blue Mockingbird memanfaatkan beberapa teknik serangan, termasuk penggunaan pembajakan COM COR_PROFILER untuk mengeksekusi DLL jahat dan mengembalikan item yang dihapus oleh para pembela, menurut Red Canary.

"Untuk menggunakan COR_PROFILER, mereka menggunakan modifikasi wmic.exe dan Windows Registry untuk mengatur variabel lingkungan dan menentukan muatan DLL," katanya.

Blue Mockingbird suka bergerak ke samping untuk mendistribusikan muatan penambangan di seluruh perusahaan, tambah peneliti. Para penyerang melakukan ini dengan menggunakan hak tinggi mereka dan Protokol Desktop Jarak Jauh (RDP) untuk mengakses sistem istimewa, dan kemudian Windows Explorer untuk kemudian mendistribusikan muatan ke sistem jarak jauh.

Meskipun Blue Mockingbird telah membuat gelombang yang nyata, toolkit ini sedang dalam proses. "Dalam setidaknya satu perjanjian, kami mengamati Blue Mockingbird yang tampaknya bereksperimen dengan berbagai alat untuk membuat proksi SOCKS untuk diputar," kata para peneliti. “Alat-alat ini termasuk fast reverse proxy (FRP), Secure Socket Funneling (SSF) dan Venom. Dalam satu contoh, musuh juga bermain-main dengan PowerShell membalikkan shell TCP dan shell terbalik dalam bentuk DLL. "

Dalam hal mencegah ancaman, menurut Red Canary, maka menambal server web, aplikasi web, dan dependensi aplikasi untuk menghambat akses awal adalah yang terbaik.[]