Microsoft sta avvisando i clienti del malware di mining crittografico LemonDuck che prende di mira sia i sistemi Windows che Linux e si sta diffondendo tramite e-mail di phishing, exploit, dispositivi USB e attacchi di forza bruta, nonché attacchi che prendono di mira le vulnerabilità critiche di Exchange Server locali scoperte a marzo .
Inoltre: Le 25 vulnerabilità software più pericolose a cui prestare attenzione
Il gruppo è stato scoperto di utilizzare i bug di Exchange per estrarre la criptovaluta a maggio, due anni dopo la sua prima comparsa.
In particolare, il gruppo dietro LemonDuck sta sfruttando i bug di sicurezza di alto profilo sfruttando le vulnerabilità precedenti durante i periodi in cui i team di sicurezza si concentrano sulla correzione di difetti critici e persino sulla rimozione di malware rivali.
“[LemonDuck] continua a utilizzare vulnerabilità precedenti, a vantaggio degli aggressori nei momenti in cui l'attenzione si sposta sulla correzione di una vulnerabilità popolare piuttosto che sull'indagine di compromissione”, nota il Microsoft 365 Defender Threat Intelligence Team.
“In particolare, LemonDuck rimuove altri aggressori da un dispositivo compromesso sbarazzandosi del malware in competizione e prevenendo eventuali nuove infezioni patchando le stesse vulnerabilità utilizzate per ottenere l'accesso.”
I ricercatori di malware Talos di Cisco hanno esaminato anche le attività di Exchange del gruppo. Ha scoperto che LemonDuck utilizzava strumenti automatizzati per scansionare, rilevare e sfruttare i server prima di caricare payload come il kit di test della penna Cobalt Strike – uno strumento preferito per il movimento laterale – e shell web, che consentono al malware di installare moduli aggiuntivi.
Secondo Microsoft, LemonDuck inizialmente ha colpito pesantemente la Cina, ma ora si è esteso a Stati Uniti, Russia, Germania, Regno Unito, India, Corea, Canada, Francia e Vietnam. Si concentra sui settori manifatturiero e IoT.
Quest'anno, il gruppo ha intensificato l'hacking manuale o manuale dopo una violazione iniziale. Il gruppo è selettivo con i suoi obiettivi.
Ha anche creato attività automatizzate per sfruttare l'exploit Eternal Blue SMB della NSA trapelato da hacker sostenuti dal Cremlino e utilizzato nell'attacco ransomware WannCry del 2017.
“L'attività è stata utilizzata per introdurre lo strumento PCASTLE per raggiungere un paio di obiettivi: abusare dell'exploit EternalBlue SMB, nonché utilizzare la forza bruta o il pass-the-hash per spostarsi lateralmente e ricominciare l'operazione. Molti di questi comportamenti sono ancora osservata nelle campagne LemondDuck oggi”, osserva il team di sicurezza di Microsoft.
LemonDuck prende il nome dalla variabile “Lemon_Duck” in uno script PowerShell che funge da agente utente per tenere traccia dei dispositivi infetti.
Le vulnerabilità a cui si rivolge per la compromissione iniziale includono CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) e CVE-2021-27065 (ProxyLogon).
“Una volta all'interno di un sistema con una casella di posta Outlook, come parte del suo normale comportamento di sfruttamento, LemonDuck tenta di eseguire uno script che utilizza le credenziali presenti sul dispositivo. Lo script indica alla casella di posta di inviare copie di un messaggio di phishing con messaggi preimpostati e allegati a tutti i contatti”, osserva Microsoft.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Security TV Data Management CXO Data Center 