Telerik UI 취약점 공격 탐지: Blue Mockingbird, CVE-2019-18935 악용

Blue Mockingbird 사이버 범죄 그룹은 약 2년 동안 사이버 보안 레이더에 있었던 그룹입니다. 현재 캠페인에서는 위협 행위자가 유명한 Telerik UI의 버그를 악용하고 있으며, 이 Telerik UI는 ASP.NET AJAX를 위한 제품으로 120개 정도의 구성 요소를 포함합니다. 주요 취약점으로 추적된 CVE-2019-18935는 심각도 수준이 9.8에 이르는 .NET 역직렬화 취약점입니다. 이는 원격 코드 실행으로 이어지며, 공격자가 감염된 서버에서 여러 악의적인 행동을 수행할 수 있게 합니다.

Blue Mockingbird는 인코딩된 PowerShell 명령을 실행시키기 위해 Cobalt Strike를 첫 번째 실행 파일로 선택했습니다. 두 번째 실행 파일은 XMRig 마이너입니다. 대적자들은 2020년에 시작된 수익을 목적으로 하는 Monero 암호화폐 채굴 캠페인에서 같은 페이로드를 사용했습니다.

Telerik UI 취약점 악용 시도를 탐지

A Sigma 규칙 재능 있는 SOC Prime 개발자 커뮤니티의 Onur Atali 라는 멤버에 의해 개발되었습니다. 이 규칙은 보안 전문가들이 시스템에서 실행된 의심스러운 Cobalt Strike 또는 암호화 맬웨어 명령을 노출하는 데 도움이 됩니다.

Telerik UI Exploitation (via_filevent)에 의한 의심스러운 Cryptominer / Cobalt Strike 맬웨어 실행

이 규칙은 MITRE ATT&CK® 프레임워크 버전 10과 함께 명령 및 스크립팅 인터프리터 (T1059)와 로컬 시스템의 데이터 (T1005) 기술로 Execution 및 Collection 전술을 다룹니다.

이 탐지는 다음 SIEM, EDR, XDR 플랫폼을 위한 번역을 제공합니다: Microsoft Sentinel, Microsoft APT, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Qualys, Apache Kafka ksqlDB, Open Distro 및 AWS OpenSearch.

환경 내 다른 가능한 보안 허점을 탐지하기 위해 등록된 사용자는 SOC Prime 플랫폼의 Threat Detection Marketplace 리포지토리에서 사용 가능한 전체 탐지 알고리즘 목록에 접근할 수 있습니다. ‘탐지 및 탐색’ 버튼을 누르면 185,000개 이상의 독특한 사냥 쿼리, 파서, SOC 준비 대시보드, Sigma, YARA, Snort 큐레이팅된 규칙 및 25개 시장을 선도하는 SIEM, EDR 및 XDR 기술에 맞춘 Incident Response Playbook에 접속할 수 있습니다. Detect & Hunt button will provide you access to 185,000+ unique hunting queries, parsers, SOC-ready dashboards, Sigma, YARA, Snort curated rules, and Incident Response Playbooks tailored to 25 market-leading SIEM, EDR, and XDR technologies.

계정이 없는 보안 실무자는 Cyber Threat Search Engine을 통해 제공되는 Sigma 규칙 컬렉션을 탐색할 수 있습니다. 무료 SOC 콘텐츠 종합 상점에 접근하려면 ‘Explore Threat Context’ 버튼을 누르세요. 위협 문맥 탐색 자체 콘텐츠를 제작하시겠습니까? 23,000명 이상의 전문가로 구성된 세계 최대의 사이버 방어 커뮤니티와 협력하여 감지 콘텐츠를 공유함으로써 전문적인 지침을 받고 안정적인 수입을 올리세요.

Detect & Hunt 위협 문맥 탐색

Crafting your own content? Join forces with the world’s largest cyber defense community of 23,000+ experts powered by the 위협 현상금 프로그램 Telerik UI 라이브러리 탐지 분석

Telerik UI Library Exploit Analysis

2019년에는 Telerik UI 웹 애플리케이션 프레임워크가 여러 가지 취약점에 취약하다는 것이 입증되면서 공격자들의 표적이 되었습니다. 가장 심각한 것은 CVE-2019-18935로 태그된 역직렬화 버그였습니다. 벤더는 이를 수정했지만, 2020년과 2021년 동안 공격 시도가 보고되었고, 더 많은 문서화된 공격이 2022년 5월.

에 다시 나타났습니다. 현재 공격 캠페인에서는 Blue Mockingbird라는 이름으로 알려진 위협 행위자가 Monero 암호화폐 채굴을 위해 알려진 CVE를 활용하여 사이버 공격을 실행하고 있습니다. 대상이 손상되면 해커는 조직 전반에 걸쳐 채굴 페이로드를 확산시키며 횡적으로 이동합니다. 그러나 보안 연구원들은 이번에는 Cobalt Strike 비콘도 포함하여 공격자들이 다른 악의적인 경로를 사용할 수 있다고 경고합니다. Cobalt Strike 비콘.

버그는 파일 업로드 요청을 처리하는 데 사용되는 Telerik UI의 RadAsyncUpload 기능에 있으며, Windows 서버에 영향을 미칩니다.

SOC Prime 디텍션 코드 플랫폼 에 무료로 가입하여, 업계의 모범 사례와 공유 전문 지식을 바탕으로 더 안전한 미래를 만들어 보십시오. 이 플랫폼은 보안 실무자들이 최상위 이니셔티브에 참여하고, 만든 탐지 콘텐츠를 공유하고, 입력을 통해 수익을 창출하여 사이버 방어 운영을 강화할 수 있게 합니다.