“蓝色知更鸟”正在挖掘加密货币

美国一家网络安全公司的研究人员发现了一种新型的威胁，此威胁的终极目的是挖掘加密货币。

Red Canary Intel正在监视一个新威胁，他们将其称为 Blue Mockingbird(译名蓝色知更鸟)，因为它对多个组织进行了攻击。

[[326034]]

该名称指的是类似活动的群集，其中涉及Windows系统上以动态链接库(DLL)形式的Monero加密货币挖掘有效载荷。

Red Canary网络事件响应团队的情报分析师Tony Lambert说：“如果您拥有面向公众的Web服务器，那就应该对此有所关注。”

“观察到的活动没有针对性，并且可能在运行受Telerik支持的Web应用程序的任何Windows IIS服务器上发生，该服务器仍然容易受到CVE-2019-18935的攻击。”

由于Telerik的整合方式，蓝知更鸟的受害者可能没有意识到他们已受到攻击。

兰伯特说：“受此CVE影响的一些组织不知道自己是否容易受到攻击，因为Telerik普遍且不显眼地内置在其他Web应用程序中，因此最好的方法是简单地检查IIS Web服务器的Web访问日志以提及Telerik。

[[326035]]

Red Canary研究人员指出，威胁参与者通过利用面向公众的Web应用程序(特别是那些使用Telerik UI for ASP.NET的Web应用程序，然后通过多种技术执行和持久化)来实现初始访问”。

获得访问权限后，该挖矿病毒将使用“远程桌面协议”访问特权系统，然后使用Windows资源管理器将其有效负载分发给尽可能多的远程系统。 

在受感染的计算机上，它会通过滥用合法且不经常使用的Windows功能COR_PROFILER来持久存在。

在一次的攻击泄漏中，有人给被该挖矿病毒恶意泄露的账户提供了代理软件，并尝试使用不同种类的反向外壳有效载荷连接到外部系统。

研究人员说，他们观察到的最早的“蓝知更鸟”工具是去年12月形成的。兰伯特说，发现威胁目标是医疗保健到IT服务提供商的众多企业。

根据观察到的众多技术，Red Canary研究人员表示，Blue Mockingbird更可能为企业网络而不是个人消费者带来问题。

目标企业将看到受感染机器耗尽的计算资源，而IT或安全团队则消除了来自受影响环境的威胁，从而承受了更大的压力。