Rilevamento di Exploit della Vulnerabilità di Telerik UI: Blue Mockingbird Sfrutta CVE-2019-18935

Il gruppo criminale informatico Blue Mockingbird è nel radar della sicurezza informatica da circa due anni. Nella campagna attuale, il soggetto malevolo sfrutta le vulnerabilità scoperte nel 2019 in una popolare suite Telerik UI per ASP.NET AJAX che include circa 120 componenti. La principale vulnerabilità, identificata come CVE-2019-18935 con un livello di gravità critica di 9.8, è un difetto di deserializzazione .NET. Porta all’esecuzione di codice remoto, consentendo a un attaccante di eseguire una serie di azioni dannose sul server compromesso.

Blue Mockingbird ha optato per piantare Cobalt Strike come eseguibile di prima fase per eseguire comandi PowerShell codificati. L’eseguibile di seconda fase è un XMRig Miner; gli avversari hanno usato lo stesso payload nella loro campagna del 2020 di mining di criptovaluta Monero a scopo finanziario.

Rilevare tentativi di sfruttamento delle vulnerabilità di Telerik UI

A Regola Sigma sviluppata da un membro talentuoso della SOC Prime comunità di sviluppatori Onur Atali aiuta i professionisti della sicurezza a scoprire comandi sospetti di Cobalt Strike o cripto-malware eseguiti nel sistema:

Esecuzione sospetta di Cryptominer / Malware Cobalt Strike tramite lo sfruttamento di Telerik UI (via_filevent)

La regola è allineata al framework MITRE ATT&CK® v.10. affrontando le tattiche di Execution e Collection con le tecniche Command and Scripting Interpreter (T1059) e Data from Local System (T1005).

Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Microsoft APT, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Qualys, Apache Kafka ksqlDB, Open Distro e AWS OpenSearch.

Per rilevare altre possibili falle di sicurezza nel tuo ambiente, gli utenti registrati possono accedere all’elenco completo degli algoritmi di rilevamento disponibili nel repository Marketplace del rilevamento delle minacce della piattaforma SOC Prime. Il Pulsante Detect & Hunt ti darà accesso a oltre 185.000 query di caccia uniche, parser, dashboard pronte per SOC, regole curate Sigma, YARA, Snort, e Playbook di risposta agli incidenti su misura per 25 tecnologie SIEM, EDR e XDR leader di mercato.

I professionisti della sicurezza senza account possono navigare nella raccolta di regole Sigma disponibile tramite il motore di ricerca di minacce informatiche. Premi il Pulsante Esplora Contesto Minaccia per accedere a un negozio unico per contenuti SOC gratuiti.

Pulsante Detect & Hunt Pulsante Esplora Contesto Minaccia

Creando il tuo contenuto? Unisciti alla più grande comunità di difesa informatica del mondo composta da oltre 23.000 esperti, alimentata dal Programma di Bounty sulle Minacce per ottenere guida professionale e guadagnare un reddito stabile condividendo il tuo contenuto di rilevamento.

Analisi del Sfruttamento della Libreria Telerik UI

Nel 2019, il framework dell’applicazione web Telerik UI è diventato un obiettivo ambito per gli avversari, quando si è rivelato suscettibile a una serie di vulnerabilità. La più grave era un bug di deserializzazione etichettato come CVE-2019-18935. Il fornitore lo ha corretto, ma ci sono stati rapporti di exploit durante il 2020 e il 2021, con attacchi più documentati riemergenti a maggio 2022.

Nella campagna di attacco attuale, un agente maligno conosciuto sotto il nome di Blue Mockingbird sta lanciando attacchi informatici, sfruttando un CVE noto per il mining di criptovaluta Monero. Una volta violato l’obiettivo, gli hacker si spostano lateralmente, distribuendo payload di mining in tutta l’organizzazione. Tuttavia, i ricercatori di sicurezza avvertono di altri vettori malevoli che questi attacchi possono prendere poiché, questa volta, gli avversari stanno anche infettando gli obiettivi con un Cobalt Strike beacon.

Il bug si trova nella funzione RadAsyncUpload di Telerik UI, che viene utilizzata per gestire le richieste di caricamento file, influenzando i server Windows.

Iscriviti gratuitamente sulla piattaforma di Detection as Code di SOC Prime per un futuro più sicuro creato con le migliori pratiche del settore e esperienza condivisa. La piattaforma consente ai professionisti della sicurezza di potenziare le loro operazioni di difesa informatica partecipando a iniziative di alto livello, condividendo il contenuto di rilevamento di loro creazione, e monetizzando il contributo.