黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike

admin 2022年6月17日19:53:43安全新闻评论12 views1544字阅读5分8秒阅读模式

黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike


威胁组织 “Blue Mockingbird” 利用 Telerik UI 漏洞 (CVE-2019-18935) 攻陷服务器,安装 Cobalt Strike 信标并通过劫持系统资源挖掘门罗币。


该漏洞是“严重”的反序列化漏洞(CVSS评分9.8),可导致在 ASP.NET AJAX 的 Telerik UI 库中执行远程代码。

Blue Mockingbird 黑客组织还在2020年5月利用该漏洞攻击使用 Telerik UI的微软IIS服务器,而此时距离厂商发布安全更新已过去一年的时间。

令人惊讶的是,Sophos 公司的研究员指出,该黑客组织仍然在利用该漏洞发动网络攻击。


黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike
利用老旧漏洞
黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike


为利用该漏洞,攻击者必须获得加密密钥,保护 Telerik UI 在目标上的序列化。攻击者可通过利用目标 web app 中的另外一个漏洞或利用CVE-2017-11317和CVE-2017-11357实现这一目的。

由于很多 web 应用是在开发之时就嵌入该 Telerik UI 框架版本并在之后不再继续或者将其忘记,因此仍然存在有效的攻击目标。一旦获得密钥,攻击者就能够编译包含该代码的恶意DLL,在反序列化过程中执行并且在 “w3wp.exe” 进程上下文中运行。

Sophos 公司在最近的攻击中发现,Blue Mockingbird 组织利用现成可用的PoC exploit 处理该加密逻辑并将DLL编译自动化。

黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike


黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike
受经济利益驱动的攻击
黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike


最近攻击活动中使用的payload 是 Cobalt Strike 信标,它是Blue Mockingbird 滥用于执行已编码 PowerShell 命令的合法渗透测试工具。

黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike

攻击者通过GPOs 创建用包含base64编码的PowerShell 的新注册表项编写的调度任务,从而实现持久性。

黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike

黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike

脚本使用常见的AMSI绕过技术,逃避 Windows Defender 检测,下载并将 Cobalt STRIKE DLL加载到内存中。

第二阶段的可执行文件 (‘crby26td.exe’) 是XMRig Miner,是标准的开源密币挖矿机,用于挖掘追踪难度最大的密币之一,门罗币。

黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike


黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike


值得注意的是,这是Blue Mockingbird组织在2020年攻击活动中的主要目标,其整个攻击链、技术和目标并未发生太多改变。然而,部署 Cobalt Strike 创建了在受陷网络中轻松进行横向移动、窃取数据、接管账户和部署更多payload如勒索软件的方法。目前尚无法确定该黑客组织是否有意探索这些场景,不过目前它们的目标是门罗币挖掘。





代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com








推荐阅读

三年蜜罐实验:黑客想从物联网设备中得到什么?
三个已存在15年的 Linux 内核漏洞
US-CERT 公布近三年遭利用频率最高的十大安全漏洞
2019年第三季度谷歌及其用户受国家黑客攻击的情况说明
三年多无需密码即可访问后门账户:Docker 官方镜像被曝严重漏洞




原文链接

https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike
黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月17日19:53:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike http://cn-sec.com/archives/1125164.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: