ผู้เชี่ยวชาญเตือนระวังช่องโหว่บนเซิร์ฟเวอร์ที่รันแอป ASP.NET คาดมีเหยื่อแล้วหลายพันราย

Red Canary ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ออกมาเตือนถึงการที่แฮ็กเกอร์ใช้ช่องโหว่เพื่อเข้าโจมตีเซิร์ฟเวอร์ที่เข้าถึงได้ผ่านอินเทอร์เน็ตและมีการรันแอป ASP.NET ที่มีช่องโหว่ CVE-2019-18935 ทั้งนี้คาดว่ามีเหยื่อถูกโจมตีแล้วถึงหลายพันราย

กลุ่มคนร้ายผู้อยู่เบื้องหลังแคมเปญการโจมตีชื่อว่า Blue Mockingbird ซึ่งเคลื่อนไหวตั้งแต่เมื่อปลายปีก่อน โดยช่องโหว่ CVE-2019-18935 เกิดขึ้นกับเฟรมเวิร์กที่ชื่อ Telerik ซึ่งถูกใช้ในส่วนประกอบของ UI ความน่ากลัวก็คือหลายบริษัทหรือนักพัฒนาหลายคนไม่ทราบถึงการมีอยู่ของ Telerik ในแอปพลิเคชันตัวเองเลยด้วยซ้ำ ดังนั้นจึงยากมากที่จะทราบว่าสิ่งที่ใช้งานอยู่นั้นอัปเดตหรือยัง โดยช่องโหว่นี้ทาง NSA (US) และ ASCS (Australia) ได้ขึ้นบัญชีไว้ว่าพบการโจมตีมากในปี 2019 และปีนี้ 

สำหรับพฤติกรรมของคนร้ายเมื่อเจาะเข้าไปด้วยช่องโหว่แล้วก็จะมีการวาง Web Shell และใช้เทคนิค Juicy Potato เพื่อยกระดับสิทธิ์และแก้ไขให้พฤติกรรมอันตรายของคนรอดผ่านการรีบูตได้ ทั้งนี้หลังจากได้สิทธิ์ระดับสูงแล้ว Blue Mockingbird ได้สนใจไปที่เรื่องของการติดตั้งแอปขุดเหมือง Monero หรือ XMRRig เข้ามาทำงาน

ด้วยเหตุนี้เองผู้ใช้งานอาจจะใช้ Firewall เพื่อุดช่องโหว่หรือสามารถดู Indicator of compromise จาก Red Canary

ที่มา :  https://www.zdnet.com/article/thousands-of-enterprise-systems-infected-by-new-blue-mockingbird-malware-gang/