LES HACKERS DE BLUE MOCKINGBIRD PIRATENT DES MILLIERS DE SYSTÈMES D’ENTREPRISE

Posté le mai 26, 2020 à 10:41

LES HACKERS DE BLUE MOCKINGBIRD PIRATENT DES MILLIERS DE SYSTÈMES D’ENTREPRISE

Les hackers s’infiltrent dans les systèmes des entreprises en exploitant une vulnérabilité dangereuse et difficile à corriger. Un rapport récent a révélé que les hackers ont piraté et exposé des milliers de ces systèmes d’entreprise qui sont infectés par des logiciels malveillants cryptographiques.

Le rapport indique qu’un groupe de hackers connu sous le nom de Blue Mockingbird est responsable de l’attaque.

L’incident de piratage a été découvert ce mois-ci par Red Canary, une société de sécurité cloud. Cependant, on pense que le groupe de hackers est opérationnel depuis décembre de l’année dernière.

Selon les chercheurs de l’entreprise de sécurité, Blue Mockingbird a infiltré des serveurs publics qui exécutent des applications ASP.NET. Ces applications utilisent le protocole Telerik pour leur interface utilisateur.

Le groupe de hackers a installé un shell web sur les serveurs

Le groupe de hackers a profité de la vulnérabilité CVE-2019-18935  et a installé un shell web sur le serveur de la victime. Après avoir implanté le shell web, ils ont utilisé la méthode de piratage « juicy potato » pour accéder au niveau administrateur, modifier les paramètres du serveur et obtenir une présence au redémarrage.

Après avoir obtenu l’accès complet au système, ils ont téléchargé et installé une version de XMRRig, une application de crypto-mining bien connue pour la cryptoconnaissance du Monero.

Les chercheurs de Red Canary ont déclaré que le syndicat de piratage a également essayé de se propager en interne par le biais du Server Message Block (SMB) ou du Remote Desktop Protocol (RDP). Ils ont déclaré que cela était possible lorsque les serveurs IIS destinés au public sont connectés au réseau interne de l’entreprise.

Les chercheurs ont également admis qu’ils ne connaissaient pas les méthodes opérationnelles complètes des hackers, mais ils pensent que le botnet commandité par les hackers a infecté environ 1000 systèmes uniquement à cause de la visibilité restreinte dont ils disposaient.

Le nombre d’entreprises infectées pourrait être plus élevé

Red Canary a déclaré ne pas disposer d’informations complètes sur le niveau de menace que représente le logiciel malveillant Blue Mockingbird, comme toute autre entreprise de sécurité.

Mais la société de sécurité a déclaré que la menace a affecté certaines des organisations qu’elle surveille.

« Cette menace a affecté un très faible pourcentage des organisations dont nous surveillons les terminaux », a rappelé un porte-parole de l’entreprise de sécurité.

De plus, la société de sécurité a noté qu’en dehors des 1000 cas qu’elle a confirmés, le nombre pourrait être plus élevé, compte tenu des connaissances limitées qu’elle a sur le niveau des opérations du groupe.

De nombreux développeurs et entreprises ne savent peut-être pas que le module d’interface utilisateur de Telerik fait partie de leur application. Par conséquent, il les expose davantage aux attaques. Les attaquants ont profité de cette vulnérabilité pour exploiter des milliers de systèmes après que les détails de la vulnérabilité aient été connus du public.

Cette vulnérabilité est l’une des plus fréquentes aux États-Unis et en Australie

Dans une note consultative publiée le mois dernier, l’Agence de sécurité nationale (NSA) des États-Unis a souligné les dangers que représente la vulnérabilité CVE-2019-18935 de Telerik UI. L’agence l’a listée comme l’une des vulnérabilités les plus exploitées pour compromettre les shells des serveurs.

Dans une publication similaire de l’Australian Cyber Security Center (ACSC), la semaine dernière, il a également mentionné la vulnérabilité de Telerik comme une vulnérabilité exploitée très courante qui attaque les entreprises australiennes depuis l’année dernière.

Afin d’empêcher les hackers de profiter de la vulnérabilité pour infecter les serveurs, les entreprises ont été averties qu’elles devaient corriger leurs applications vulnérables. Elles doivent empêcher ou arrêter l’exploitation de la vulnérabilité au niveau du pare-feu.

Dans les cas où les organisations ne disposent pas d’un pare-feu web, elles doivent rechercher des indices de violation au niveau du poste de travail ou du serveur.

Les entreprises doivent scanner leurs systèmes régulièrement

Red Canary a récemment publié un avis à l’intention des entreprises pour les aider à protéger leurs serveurs contre ce type de vulnérabilité. La société de sécurité a donné des indicateurs de violations que les organisations peuvent examiner. Ils peuvent scanner les systèmes et les serveurs avec l’indicateur pour découvrir rapidement une attaque de Blue Mockingbird et obtenir immédiatement des correctifs.

Red Canary a réitéré que sa priorité est de toujours aider les individus et les organisations à se protéger contre les différents moyens de cyber-attaque, même en cas de vulnérabilités. Par conséquent, le rapport consultatif doit permettre aux équipes de sécurité d’appliquer des stratégies de détection des méthodes de menace qui peuvent être utilisées contre elles.

Il est donc indispensable pour la sécurité d’évaluer en permanence la propension des attaques, avec la possibilité de détecter celles qui sont liées et qui tirent parti des vulnérabilités, a déclaré le cabinet de recherche.

Summary
LES HACKERS DE BLUE MOCKINGBIRD PIRATENT DES MILLIERS DE SYSTÈMES D'ENTREPRISE
Article Name
LES HACKERS DE BLUE MOCKINGBIRD PIRATENT DES MILLIERS DE SYSTÈMES D'ENTREPRISE
Description
Les hackers s'infiltrent dans les systèmes des entreprises en exploitant une vulnérabilité dangereuse et difficile à corriger.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading