您当前的位置: > 热点资讯 >
网络犯罪分子正在使用MoneroCampaign的蓝色模仿鸟操纵Web框架
发布时间:2020-05-12 20:25
Monero加密货币采矿活动是加密世界中的新威胁。网络罪犯正在使用它来操纵Web开发。该团伙使用反序列化漏洞CVE-2019-18935进行远程代码执行。这有助于他们横向移动整个企业。该团伙在ASP.NETAJAX中发现了此错误。网络犯罪分子通过AJAX或异步JavaScript和XML将脚本添加到网页。然后,浏览器执行并处理脚本。
这项活动是由红金丝雀的研究人员发现的。他们命名了这只蓝色模仿鸟。RedCanary的分析师认为,这种网络犯罪始于12月。它一直持续到四月底。根据他们的说法,存在三种执行路径。
用rundll32.exe执行,显式调用DLL导出fackaaxv
使用/s命令行选项使用regsvr32.exe实现
使用配置为Windows服务DLL的有效负载执行
网络犯罪分子使用了MoneroMiningCampaign
在最近的攻击中,攻击者用来揭示ASP.NET的TelerikUI的未修补版本。之后,他们在Windows系统上以动态链接库(DLL)形式部署XMRigMonero挖掘有效负载。执行并建立后,BlueMockingbird攻击者将感染传播到整个网络。
RedCanary的分析师追踪了BlueMockingbird的两个活跃分发的钱包地址。但是,他们无法找到这两个钱包的余额。这是由于“蓝知更鸟”具有高度私密性。了解这两个钱包的余额对于发现他们取得了多少成功是必要的。
该团伙的主要特征是它们横向移动以分配采矿的有效载荷。RedCanary的研究人员认为他们使用了远程桌面协议(RDP)。该团伙利用此来找到对攻击系统的访问。之后,他们使用Windows资源管理器将有效负载分发到远程系统。但是,他们已经有些麻烦了,他们还没有准备好最终工具包。
