Erkennung von Telerik UI-Schwachstellen-Exploits: Blue Mockingbird nutzt CVE-2019-18935 aus

[post-views]
Juni 17, 2022 · 3 min zu lesen
Erkennung von Telerik UI-Schwachstellen-Exploits: Blue Mockingbird nutzt CVE-2019-18935 aus

Die Blue Mockingbird-Cybercrime-Gruppe ist seit etwa zwei Jahren auf dem Cybersecurity-Radar. In der aktuellen Kampagne nutzt der Bedrohungsakteur die 2019 entdeckten Schwachstellen in einer beliebten Telerik UI-Suite für ASP.NET AJAX aus, die etwa 120 Komponenten umfasst. Die Hauptschwachstelle, nachverfolgt als CVE-2019-18935 mit einem kritischen Schweregrad von 9,8, ist ein .NET-Deserialisierungsfehler. Dieser führt zu einer Remote-Code-Ausführung, die es einem Angreifer ermöglicht, eine Reihe bösartiger Aktionen auf dem kompromittierten Server auszuführen.

Blue Mockingbird entschied sich dafür, Cobalt Strike als Erststufen-Executable zu pflanzen, um codierte PowerShell-Befehle auszuführen. Die Zweitstufen-Executable ist ein XMRig Miner; die Angreifer verwendeten die gleiche Nutzlast in ihrer finanziell motivierten Monero-Kryptowährungs-Mining-Kampagne, die 2020 gestartet wurde.

Erkennung von Ausbeutungsversuchen der Telerik UI-Schwachstelle

A Sigma-Regel entwickelt von einem talentierten Mitglied der SOC Prime Entwicklergemeinschaft Onur Atali hilft Sicherheitsexperten, verdächtige Cobalt Strike oder Kryptomalware-Befehle zu enthüllen, die im System ausgeführt werden:

Verdächtige Kryptominer-/Cobalt Strike-Malware-Ausführung durch Nutzung der Telerik UI-Schwachstelle (via_filevent)

Die Regel ist im Einklang mit dem MITRE ATT&CK® Framework v.10. und adressiert die Taktiken Execution und Collection mit den Techniken Command and Scripting Interpreter (T1059) und Data from Local System (T1005).

Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Microsoft APT, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Qualys, Apache Kafka ksqlDB, Open Distro und AWS OpenSearch.

Um weitere mögliche Sicherheitslücken in Ihrer Umgebung zu erkennen, können registrierte Benutzer die vollständige Liste der im Threat Detection Marketplace-Repository der SOC Prime-Plattform verfügbaren Erkennungsalgorithmen abrufen. Die Detect & Hunt Schaltfläche bietet Ihnen Zugang zu über 185.000 einzigartigen Hunting-Abfragen, Parsern, SOC-bereiten Dashboards, Sigma-, YARA-, Snort-kuratierten Regeln und Incident-Response-Playbooks, die auf 25 marktführende SIEM-, EDR- und XDR-Technologien zugeschnitten sind.

Sicherheitsexperten ohne Konto können die Sammlung von Sigma-Regeln über die Cyber Threat Search Engine durchsuchen. Drücken Sie die Explore Threat Context Schaltfläche, um auf ein universelles Angebot für kostenlose SOC-Inhalte zuzugreifen.

Detect & Hunt Explore Threat Context

Erstellen Sie Ihre eigenen Inhalte? Schließen Sie sich den weltweit größten Cyber-Abwehrgemeinschaft von über 23.000 Experten an, die durch das Threat Bounty-Programm unterstützt werden, um professionelle Anleitung zu erhalten und ein stabiles Einkommen durch das Teilen Ihrer Erkennungsinhalte zu verdienen.

Analyse der Ausbeutung der Telerik UI-Bibliothek

Im Jahr 2019 wurde das Telerik UI-Webanwendungs-Framework zum begehrten Ziel für Angreifer, als es sich als anfällig für eine Reihe von Schwachstellen erwies. Die schwerwiegendste war ein Deserialisierungsfehler, der als CVE-2019-18935 gekennzeichnet ist. Der Anbieter hat ihn behoben, aber es gab Berichte über Exploits im Laufe von 2020 und 2021, mit weiteren dokumentierten Angriffen, die im Mai 2022.

wieder auftauchten. In der aktuellen Angriffskampagne startet ein Bedrohungsagent, bekannt unter dem Namen Blue Mockingbird, Cyberangriffe und nutzt eine bekannte CVE für ein Monero-Kryptowährungs-Mining. Sobald das Ziel verletzt ist, bewegen sich die Hacker lateral und platzieren Mining-Nutzlasten in der gesamten Organisation. Sicherheitsexperten warnen jedoch vor anderen bösartigen Vektoren, die diese Angriffe einschlagen können, da die Angreifer diesmal die Ziele auch mit einem Cobalt Strike Beacon infizieren.

Der Fehler liegt in der RadAsyncUpload-Funktion der Telerik UI, die verwendet wird, um Datei-Upload-Anfragen zu bearbeiten, und betrifft Windows-Server.

Melden Sie sich kostenlos an bei SOC Primes Detection as Code-Plattform für eine sicherere Zukunft, gestaltet nach den besten Praktiken der Branche und geteilter Expertise. Die Plattform ermöglicht es Sicherheitsexperten, ihre Cyber-Abwehr-Operationen zu verstärken, indem sie an erstklassigen Initiativen teilnehmen, ihre selbst erstellten Erkennungsinhalte teilen und ihre Beiträge monetarisieren.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt 5 min zu lesen Neueste Bedrohungen Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt by Daryna Olyniychuk CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt 4 min zu lesen Neueste Bedrohungen CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt by Daryna Olyniychuk CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung 3 min zu lesen Neueste Bedrohungen CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung by Veronika Telychko
Alle Nachrichten