Группа хакеров взломала тысячи серверов, чтобы добывать криптовалюту

Тысячи корпоративных серверов были взломаны группой хакеров Blue Mockingbird, заявили в компании по информационной безопасности Red Canary, 25 мая сообщает ZDNet.

Хакеры использовали известную уязвимость CVE-2019-18935 в платформе клиентских интерфейсных компонентов Telerik UI для веб-сервисов на ASP.NET, чтобы создать возможность выполнения команд через веб-сервер.

Затем злоумышленники повышали полученные с помощью команд привилегии через вариацию утилиты Juicy Potato. Получив привилегии суперпользователя, они устанавливали программу XMRRig для добычи криптовалюты Monero.

В случае, если с сервера открывался доступ во внутреннюю сеть компании, хакеры заражали и другие машины.

В Red Canary отметили, что они непосредственно могли наблюдать порядка тысячи атак на сервера. Однако возможности держать участки сети под контролем у компании ограничены, поэтому специалисты подозревают, что подобных взломов группа хакеров произвела больше.

Выявленный случай не является единственной масштабной атакой с помощью уязвимости CVE-2019-18935. Многие компании в области информационной безопасности считают уязвимость крайне опасной, поскольку сталкивались с ее успешной эксплуатацией злоумышленниками.