Detección de Explotación de Vulnerabilidad en Telerik UI: Blue Mockingbird Aprovecha CVE-2019-18935

[post-views]
junio 17, 2022 · 4 min de lectura
Detección de Explotación de Vulnerabilidad en Telerik UI: Blue Mockingbird Aprovecha CVE-2019-18935

El grupo de ciberdelincuencia Blue Mockingbird ha estado en el radar de ciberseguridad durante aproximadamente dos años. En la campaña actual, el actor de amenaza explota las vulnerabilidades descubiertas en 2019 en un popular conjunto de Telerik UI para ASP.NET AJAX que incluye alrededor de 120 componentes. La principal vulnerabilidad, rastreada como CVE-2019-18935 con un nivel de gravedad crítica de 9.8, es una falla de deserialización de .NET. Esto conduce a la ejecución remota de código, lo que permite a un atacante realizar una serie de acciones maliciosas en el servidor comprometido.

Blue Mockingbird optó por plantar Cobalt Strike como el ejecutable de primera etapa para ejecutar comandos de PowerShell codificados. El ejecutable de la segunda etapa es un XMRig Miner; los adversarios utilizaron la misma carga útil en su campaña de minería de criptomonedas Monero con fines financieros lanzada en 2020.

Detectar intentos de explotación de vulnerabilidad en Telerik UI

A Regla Sigma desarrollada por un talentoso miembro de la SOC Prime comunidad de desarrolladores Onur Atali ayuda a los profesionales de seguridad a exponer comandos sospechosos de Cobalt Strike o cripto-malware ejecutados en el sistema:

Ejecución sospechosa de criptominer / malware Cobalt Strike por explotación de Telerik UI (via_filevent)

La regla está alineada con el marco MITRE ATT&CK® v.10. abordando las tácticas de Ejecución y Recolección con las técnicas de Intérprete de Comandos y Scripts (T1059) y Datos del Sistema Local (T1005).

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Microsoft APT, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Qualys, Apache Kafka ksqlDB, Open Distro y AWS OpenSearch.

Para detectar otros posibles agujeros de seguridad dentro de su entorno, los usuarios registrados pueden acceder a la lista completa de algoritmos de detección disponibles en el repositorio Threat Detection Marketplace de la plataforma SOC Prime. El botón Detect & Hunt le proporcionará acceso a más de 185,000 consultas de caza únicas, analizadores, tableros listos para SOC, reglas curadas de Sigma, YARA, Snort y Manuales de Respuesta a Incidentes adaptados a 25 tecnologías líderes en el mercado SIEM, EDR y XDR.

Los profesionales de seguridad sin una cuenta pueden navegar por la colección de reglas Sigma disponibles a través del Motor de Búsqueda de Amenazas Cibernéticas. Presione el botón Explore Threat Context para acceder a una tienda única de contenido SOC gratuito.

botón Detect & Hunt botón Explore Threat Context

¿Creando su propio contenido? Una fuerzas con la comunidad de defensa cibernética más grande del mundo de más de 23,000 expertos impulsada por el Programa de Recompensas por Amenazas para obtener orientación profesional y ganar un ingreso estable compartiendo su contenido de detección.

Análisis del Exploit de la Biblioteca Telerik UI

En 2019, el marco de aplicaciones web Telerik UI se convirtió en un objetivo deseado para los adversarios, cuando se demostró que era susceptible a varias vulnerabilidades. La más grave fue un error de deserialización etiquetado como CVE-2019-18935. El proveedor lo ha corregido, pero hubo informes de exploits a lo largo de 2020 y 2021, con más ataques documentados resurgiendo en mayo de 2022.

En la actual campaña de ataques, un agente de amenazas conocido bajo el seudónimo de Blue Mockingbird está lanzando ciberataques, aprovechando un CVE conocido para la minería de criptomonedas Monero. Una vez que el objetivo es violado, los hackers se mueven lateralmente, distribuyendo cargas de minería a través de una organización. Sin embargo, los investigadores de seguridad advierten sobre otros vectores maliciosos que estos ataques pueden tomar, ya que, esta vez, los adversarios también están infectando objetivos con un beacon de Cobalt Strike .

El error reside en la función RadAsyncUpload de Telerik UI, que se utiliza para manejar solicitudes de carga de archivos, afectando a servidores Windows.

Regístrese gratis en la plataforma Detection as Code de SOC Prime para un futuro más seguro, creado con las mejores prácticas de la industria y la expertise compartida. La plataforma permite a los profesionales de seguridad potenciar sus operaciones de defensa cibernética participando en iniciativas de primer nivel, compartiendo contenido de detección de su creación y monetizando su aporte.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom 5 min de lectura Últimas Amenazas Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom by Daryna Olyniychuk CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa 4 min de lectura Últimas Amenazas CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación 4 min de lectura Últimas Amenazas CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación by Veronika Telychko
Todas las noticias