Détection de l’exploitation de la vulnérabilité de l’interface utilisateur Telerik : Blue Mockingbird exploite CVE-2019-18935
Table des matières :
Le groupe cybercriminel Blue Mockingbird est sur le radar de la cybersécurité depuis environ deux ans maintenant. Dans la campagne actuelle, l’acteur menaçant exploite les vulnérabilités découvertes en 2019 dans une suite Telerik UI populaire pour ASP.NET AJAX qui comprend environ 120 composants. La principale vulnérabilité, suivie sous le code CVE-2019-18935 avec un niveau de gravité critique de 9.8, est un défaut de désérialisation .NET. Cela conduit à l’exécution de code à distance, permettant à un attaquant de réaliser un certain nombre d’actions malveillantes sur le serveur compromis.
Blue Mockingbird a choisi d’implanter Cobalt Strike comme exécutable de première étape pour exécuter des commandes PowerShell encodées. Le deuxième exécutable est un XMRig Miner ; les adversaires ont utilisé la même charge utile dans leur campagne de minage de cryptomonnaie Monero durant 2020 motivée par le gain financier.
Détecter les tentatives d’exploitation de la vulnérabilité Telerik UI
A règle Sigma développée par un membre talentueux de la SOC Prime communauté des développeurs Onur Atali aide les professionnels de la sécurité à exposer les commandes Cobalt Strike ou de cryptomalware suspectes exécutées dans le système :
La règle est alignée avec le cadre MITRE ATT&CK® v.10, abordant les tactiques d’Execution et de Collection avec l’Interpréteur de Commandes et de Scripts (T1059) et les Données du Système Local (T1005).
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Microsoft APT, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Qualys, Apache Kafka ksqlDB, Open Distro et AWS OpenSearch.
Pour détecter d’autres possibles failles de sécurité dans votre environnement, les utilisateurs enregistrés peuvent accéder à la liste complète des algorithmes de détection disponibles dans le référentiel Threat Detection Marketplace de la plateforme SOC Prime. Le bouton Detect & Hunt vous donnera accès à plus de 185 000 requêtes de chasse, analyseurs, tableaux de bord SOC prêts, règles Sigma, YARA, Snort sélectionnées, et livres de réponses aux incidents, adaptés à 25 technologies SIEM, EDR et XDR de premier plan.
Les praticiens de la sécurité sans compte peuvent parcourir la collection de règles Sigma disponibles via le Cyber Threat Search Engine. Appuyez sur le bouton Explore Threat Context pour accéder à une boutique unique de contenu SOC gratuit.
bouton Detect & Hunt Explore Threat Context
Vous créez votre propre contenu ? Joignez vos forces à la plus grande communauté de cyberdéfense mondiale de plus de 23 000 experts propulsés par le Programme de récompense de menace pour obtenir des conseils professionnels et gagner un revenu stable en partageant votre contenu de détection.
Analyse de l’exploitation de la bibliothèque UI Telerik
En 2019, le framework d’application web Telerik UI est devenu une cible de choix pour les adversaires, lorsque sa susceptibilité à un certain nombre de vulnérabilités a été prouvée. La plus grave était un bug de désérialisation identifié sous le code CVE-2019-18935. Le fournisseur l’a corrigée, mais il y a eu des rapports d’exploits tout au long de 2020 et 2021, avec davantage d’attaques documentées refaisant surface en mai 2022.
Dans la campagne d’attaque actuelle, un agent de menace connu sous le nom de Blue Mockingbird lance des cyberattaques, exploitant un CVE connu pour un minage de cryptomonnaie Monero. Une fois la cible compromise, les hackers se déplacent latéralement, déposant des charges utiles de minage à travers une organisation. Cependant, les chercheurs en sécurité avertissent d’autres vecteurs malveillants que ces attaques peuvent prendre puisque, cette fois-ci, les adversaires infectent également les cibles avec un balise Cobalt Strike. beacon.
Le bug se trouve dans la fonction RadAsyncUpload de Telerik UI, qui est utilisée pour gérer les demandes de téléversement de fichiers, affectant les serveurs Windows.
Inscrivez-vous gratuitement sur la plateforme Detection as Code de SOC Prime pour un avenir plus sûr façonné par les meilleures pratiques de l’industrie et une expertise partagée. La plateforme permet aux praticiens de la sécurité d’améliorer leurs opérations de cyberdéfense en participant à des initiatives de haut niveau, en partageant le contenu de détection de leur création, et en monétisant les contributions.
