Telerik UI の脆弱性エクスプロイト検出: Blue Mockingbird が CVE-2019-18935 を活用

[post-views]
6月 17, 2022 · 6 分で読めます
Telerik UI の脆弱性エクスプロイト検出: Blue Mockingbird が CVE-2019-18935 を活用

Blue Mockingbirdというサイバー犯罪グループは、約2年前からサイバーセキュリティのレーダーに現れています。現在のキャンペーンでは、2019年に人気のあるTelerik UIスイートのASP.NET AJAXで発見された脆弱性を脅威アクターが悪用しています。このスイートには約120のコンポーネントが含まれています。重大な脆弱性であるCVE-2019-18935は、重要度が9.8の.NETの逆シリアル化の欠陥として追跡されています。これはリモートコード実行につながり、攻撃者が侵害されたサーバー上で多くの悪意ある操作を行うことが可能になります。

Blue Mockingbirdは、初段階の実行ファイルとしてCobalt Strikeを選んで、エンコードされたPowerShellコマンドを実行しました。次の段階の実行ファイルはXMRig Minerであり、2020年に開始された金銭目的のMonero仮想通貨マイニングキャンペーンでも同じペイロードを使用していました。

Telerik UI脆弱性悪用試行を検出

A Sigmaルール 才能あるメンバーによって開発された SOC Prime 開発者コミュニティ オヌル・アタリ が、Cobalt Strikeや暗号化マルウェアコマンドをシステムで実行する際にセキュリティ専門家が疑わしい活動を見つける手助けをします:

Telerik UI悪用による疑わしいクリプトマイナー/Cobalt Strikeマルウェアの実行(via_filevent)

このルールは、 MITRE ATT&CK®フレームワーク v.10に準拠しており、Command and Scripting Interpreter(T1059)とData from Local System(T1005)技術で、実行と収集の戦術に対処しています。

この検出は以下のSIEM、EDR & XDRプラットフォームに対して翻訳されています:Microsoft Sentinel、Microsoft APT、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Chronicle Security、Securonix、Qualys、Apache Kafka ksqlDB、Open Distro、およびAWS OpenSearch。

あなたの環境内の他の可能性のあるセキュリティホールを検出するには、登録ユーザーはSOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリで利用できる検出アルゴリズムの完全なリストにアクセスできます。 Detect & Hunt ボタンを押すと、185,000以上のユニークなハンティングクエリ、パーサー、SOC対応ダッシュボード、Sigma、YARA、Snortの精選されたルール、および25の市場をリードするSIEM、EDR、およびXDR技術に合わせたインシデントレスポンスプレイブックにアクセスできます。

アカウントを持たないセキュリティ実務家は、Cyber Threat Search Engine経由で利用可能なSigmaルールのコレクションを閲覧できます。「 Explore Threat Context 」ボタンを押して、無料のSOCコンテンツを利用できるワンストップショップにアクセスしてください。

Detect & Hunt Explore Threat Context

独自のコンテンツを作成していますか?23,000人以上の専門家からなる世界最大のサイバー防衛コミュニティ「 Threat Bounty Program 」に参加して、プロの指導を受け、検出コンテンツを共有することで安定した収入を得ることができます。

Telerik UIライブラリの悪用分析

2019年にTelerik UI Webアプリケーションフレームワークは、多数の脆弱性に対して脆弱であることが証明され、攻撃者の標的となりました。最も深刻なものはCVE-2019-18935としてタグ付けされたシリアル化のバグでした。ベンダーにより修正されたものの、2020年と2021年を通じてエクスプロイトの報告があり、 2022年5月.

に多くの記録された攻撃が再浮上しました。 Cobalt Strike ビーコン。

このバグはWindowsサーバーに影響を与えるファイルアップロードリクエストを処理するために使用されるTelerik UIのRadAsyncUpload機能にあります。

に無料で登録して、業界のベストプラクティスと共有された専門知識で作られたより安全な未来を目指しましょう。このプラットフォームは、最高レベルのイニシアチブに参加し、自身の作成した検出コンテンツを共有し、その貢献を収益化することで、セキュリティ実務者がサイバー防御の運用を強化するのを支援します。 SOC Primeの Detection as Codeプラットフォーム

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している 8 分で読めます 最新の脅威 CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している by Daryna Olyniychuk CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 6 分で読めます 最新の脅威 CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 by Daryna Olyniychuk CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に 6 分で読めます 最新の脅威 CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に by Veronika Telychko
すべてのニュース