660
今年六月下旬,Sophos Labs 團隊發布了一篇技術文章《Telerik UI 漏洞引來加密挖礦程式和 Cobalt Strike 感染》,講述一個未知的攻擊團體如何利用 Telerik UI Web 應用程式架構中存在 3 年之久的漏洞來控制 Web 伺服器,進而安裝 Cobalt Strike 信標和其他惡意軟體。
Sophos 首席技術編輯 Matt Wixey 表示:「Sophos Managed Threat Response (MTR) 團隊最近調查了幾起攻擊發動者利用 Telerik UI (CVE-2019-18935) 中的漏洞在伺服器上安裝加密惡意軟體的事件。這種方法於 2020 年首次出現,公認來自於一個被稱為 Blue Mockingbird 的攻擊團體。但在這些事件中攻擊的手法已經稍有改變,表明若非是 Blue Mockingbird 重組,不然攻擊就是來自於一個受 2020 年攻擊啟發的新團體。
「Sophos 研究的這些事件表明,攻擊者的策略、技術和程序 (TTP) 通常是採漸進式、一點一點的改進而演變的,無論是透過他們自己的設計還是他人的成果。雖然找出新漏洞和新手法非常重要——除非理由非常充分——但只要稍微改進一下現有的攻擊鏈,仍可以成功入侵。攻擊者和其他所有人一樣,也喜歡讓事情簡單一點。」
這篇技術文章中還提及了, Sophos MTR(Managed Threat Response 管理式威脅回應)所觀察到的攻擊鏈分析,以及當企業組織遇到此威脅行為者時,組織都有三個關鍵的學習點,歡迎您們《Telerik UI 漏洞引來加密挖礦程式和 Cobalt Strike 感染》進一步閱讀。