利用三年前的漏洞进行攻击

重点摘要

最近的报告指出，威胁组织 Blue Mockingbird 利用 Telerik UI 库中的三年前的安全漏洞，来部署 Cobalt Strike 并进行 Monero 采矿。这一攻击方法与两年前针对未修补的 Microsoft IIS服务器的利用手法相似。研究人员警告，此次攻击可能会加速数据外泄和勒索软件的传播。

根据 的报告，Blue Mockingbird 的新一轮攻击利用了 Telerik UI 库中存在的 CVE-2019-18935 漏洞，借此导致 CobaltStrike 的信标部署以及 Monero 采矿活动。这一安全漏洞之前大约两年前就已被用于攻击未修补的 Microsoft IIS 服务器。

Sophos 的安全研究团队发现，Blue Mockingbird 的新攻击还使用了可用的概念验证利用工具，该工具支持 DLL编译的自动化。在攻击中，Blue Mockingbird 通过 Active Directory 组策略对象实现持久性。此外，攻击还绕过了 WindowsDefender，采用典型的 AMSI 绕过方法，在下载 Cobalt Strike DLL 之前进行规避。同时，名为 "crby26td.exe" 的 XMRig 采矿器会作为第二阶段可执行文件部署，以进行 Monero 的采矿作业。

根据研究者的分析，尽管 Blue Mockingbird 的最新攻击同样是出于经济动机，但其在最近使用 Cobalt Strike的做法，可能会加速数据外泄和勒索软件的传播速度。保持系统的更新和对相关漏洞的修复将是抵御这类攻击的重要举措。