Ribuan sistem perusahaan diyakini telah terinfeksi dengan malware penambangan cryptocurrency yang dioperasikan oleh kelompok yang dilacak dengan nama Blue Mockingbird.
Ditemukan awal bulan ini oleh analis malware dari perusahaan keamanan cloud Red Canary, kelompok Blue Mockingbird diyakini telah aktif sejak Desember 2019. Para peneliti mengatakan Blue Mockingbird menyerang public-facing server yang menjalankan aplikasi ASP.NET yang menggunakan kerangka Telerik untuk komponen antarmuka pengguna (UI) mereka.
Peretas mengeksploitasi kerentanan CVE-2019-18935 untuk menanam web shell di server yang diserang. Mereka kemudian menggunakan versi teknik Juicy Potato untuk mendapatkan akses tingkat admin dan mengubah pengaturan server untuk mendapatkan (re)boot persistence.
Begitu mereka mendapatkan akses penuh ke suatu sistem, mereka mengunduh dan menginstal XMRRig, aplikasi penambangan cryptocurrency populer untuk cryptocurrency Monero (XMR).
Analis Red Canary mengatakan bahwa jika server IIS yang menghadap publik terhubung ke jaringan internal perusahaan, grup tersebut juga berupaya menyebar secara internal melalui koneksi RDP (Remote Desktop Protocol) atau SMB (Server Message Block) yang tidak diamankan dengan maksimal.
Dalam wawancara email awal bulan ini, Red Canary mengatakan kepada ZDNet bahwa mereka tidak memiliki pandangan penuh tentang operasi botnet ini, tetapi mereka percaya bahwa botnet setidaknya telah membuat 1.000 infeksi sejauh ini, hanya dari jarak pandang terbatas yang mereka miliki. Namun, Red Canary mengatakan jumlah perusahaan yang terkena dampak bisa jauh lebih tinggi, dan bahkan perusahaan yang percaya bahwa mereka aman berisiko terkena serangan.
Baca berita selengkapnya pada link di bawah ini:
Source: ZDNet | Red Canary
