А также для установки маяков Cobalt Strike
Группировка Blue Mockingbird использовала уязвимость пользовательского интерфейса Telerik UI для компрометации серверов, установки маяков Cobalt Strike и майнинга Monero путем захвата системных ресурсов.
Blue Mockingbird использовала RCE-уязвимость CVE-2019-18935 с оценкой CVSS 9.8 в библиотеке Telerik UI для ASP.NET AJAX. Для использования CVE-2019-18935 группировка должна получить ключи шифрования, которые защищают сериализацию Telerik UI. Это возможно путем эксплуатации других ошибок CVE-2017-11317 и CVE-2017-11357 .
После получения ключей Blue Mockingbird может скомпилировать вредоносный DLL-файл с кодом, который будет выполняться во время десериализации. Также группа может запустить DLL в контексте процесса «w3wp.exe»
Полезная нагрузка представляет собой маяк Cobalt Strike, который Blue Mockingbird использует для выполнения PowerShell-команд. Сценарий использует распространенные методы обхода AMSI ( Anti-Malware Scan Interface ), чтобы избежать обнаружения Защитником Windows при загрузке DLL Cobalt Strike в память.
Исполняемый файл второго этапа «crby26td.exe» представляет собой open-source майнер криптовалюты XMRig Miner, используемый для майнинга наименее отслеживаемой криптовалюты Monero
Развертывание Cobalt Strike предоставляет киберпреступнику следующие возможности:
- выполнять боковое перемещение внутри скомпрометированной сети;
- осуществлять кражу данных;
- захватывать учетные записи;
- развертывать более опасные полезные нагрузки, например программы-вымогатели.
Пока неизвестно, заинтересована ли Blue Mockingbird в использовании этих сценариев, но пока группа специализируется исключительно на майнинге Monero.