Detecção de Exploração de Vulnerabilidade na Interface Telerik: Blue Mockingbird Aplica CVE-2019-18935

[post-views]
Junho 17, 2022 · 4 min de leitura
Detecção de Exploração de Vulnerabilidade na Interface Telerik: Blue Mockingbird Aplica CVE-2019-18935

O grupo de cibercrime Blue Mockingbird está no radar da cibersegurança há cerca de dois anos. Na campanha atual, o agente de ameaça explora as vulnerabilidades descobertas em 2019 em um conjunto popular de interface de usuário Telerik para ASP.NET AJAX que inclui cerca de 120 componentes. A principal vulnerabilidade, rastreada como CVE-2019-18935 com um nível de severidade crítica de 9.8, é uma falha de desserialização .NET. Isso leva à execução remota de código, permitindo que um atacante realize uma série de ações maliciosas no servidor comprometido.

Blue Mockingbird optou por plantar o Cobalt Strike como o executável de primeira fase para executar comandos PowerShell codificados. O executável de segunda fase é um XMRig Miner; os adversários usaram a mesma carga útil em sua campanha de mineração de criptomoeda Monero motivada financeiramente lançada em 2020.

Detectar Tentativas de Exploração de Vulnerabilidade do Telerik UI

A regra Sigma desenvolvida por um membro talentoso da SOC Prime comunidade de desenvolvedores Onur Atali ajuda os profissionais de segurança a expor comandos suspeitos do Cobalt Strike ou de criptomalware executados no sistema:

Execução Suspeita de Cryptominer / Malware Cobalt Strike por Exploração do Telerik UI (via_filevent)

A regra está alinhada com o framework MITRE ATT&CK® v.10. abordando as táticas de Execução e Coleta com as técnicas de Interpretação de Comando e Script (T1059) e Dados do Sistema Local (T1005).

Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Microsoft APT, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Qualys, Apache Kafka ksqlDB, Open Distro e AWS OpenSearch.

Para detectar outros possíveis buracos de segurança dentro do seu ambiente, os usuários registrados podem acessar a lista completa de algoritmos de detecção disponíveis no repositório Threat Detection Marketplace da plataforma SOC Prime. O botão Detect & Hunt fornecerá acesso a mais de 185.000 consultas de caça únicas, parsers, painéis prontos para SOC, regras Sigma, YARA, Snort curadas, e Playbooks de Resposta a Incidentes, adaptados para 25 tecnologias SIEM, EDR e XDR líderes de mercado.

Os profissionais de segurança sem uma conta podem navegar pela coleção de regras Sigma disponíveis através do Cyber Threat Search Engine. Pressione o botão Explorar Contexto de Ameaças para acessar uma central única de conteúdos SOC gratuitos.

botão Detect & Hunt botão Explorar Contexto de Ameaças

Criando seu próprio conteúdo? Una forças com a maior comunidade de defesa cibernética do mundo, com mais de 23.000 experts, impulsionada pelo Threat Bounty Program para obter orientação profissional e ganhar uma renda estável compartilhando seu conteúdo de detecção.

Análise da Exploração da Biblioteca Telerik UI

Em 2019, o framework de aplicação web Telerik UI tornou-se um alvo desejado por adversários, quando foi provado ser suscetível a uma série de vulnerabilidades. A mais severa foi uma falha de desserialização etiquetada como CVE-2019-18935. O fornecedor a corrigiu, mas houve relatos de exploits durante 2020 e 2021, com mais ataques documentados ressurgindo em maio de 2022.

Na campanha de ataque atual, um agente de ameaça conhecido pelo codinome Blue Mockingbird está lançando ciberataques, aproveitando uma CVE conhecida para mineração de criptomoeda Monero. Uma vez que o alvo é violado, os hackers se movem lateralmente, implantando cargas de mineração por toda a organização. No entanto, pesquisadores de segurança alertam sobre outros vetores maliciosos que esses ataques podem tomar, já que, desta vez, os adversários também estão infectando alvos com um beacon do Cobalt Strike. O bug reside na função RadAsyncUpload do Telerik UI, que é usada para lidar com solicitações de upload de arquivos, afetando servidores Windows.

The bug lies in Telerik UI’s RadAsyncUpload function, which is used to handle file upload requests, affecting Windows servers.

Registre-se gratuitamente na plataforma Detection as Code da SOC Prime para um futuro mais seguro criado com as melhores práticas da indústria e expertise compartilhada. A plataforma permite que os profissionais de segurança aumentem suas operações de ciberdefesa participando de iniciativas de alto nível, compartilhando conteúdo de detecção de sua criação e monetizando a contribuição.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom 6 min de leitura Ameaças Mais Recentes Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom by Daryna Olyniychuk Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa 4 min de leitura Ameaças Mais Recentes Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação 4 min de leitura Ameaças Mais Recentes CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação by Veronika Telychko
Todas as notícias