Microsoft varnar kunderna för LemonDuck crypto mining malware som riktar sig mot både Windows- och Linux-system och sprider sig via phishing-e-post, exploateringar, USB-enheter och brute force-attacker, samt attacker riktade mot kritiska lokala Exchange Server-sårbarheter som avslöjades i mars .
Också: De 25 farligaste programvarusårbarheterna att se upp för
Gruppen var upptäckte att de använde Exchange-buggar för att bryta för kryptovaluta i maj, två år efter att det först uppstod.
I synnerhet utnyttjar gruppen bakom LemonDuck högprofilerade säkerhetsfel genom att utnyttja äldre sårbarheter under perioder där säkerhetsteam är inriktade på att korrigera kritiska brister och till och med ta bort konkurrerande skadlig kod.
“[LemonDuck] fortsätter att använda äldre sårbarheter, vilket gynnar angriparna ibland när fokus skiftar till att lappa en populär sårbarhet snarare än att undersöka kompromisser”, säger Microsoft 365 Defender Threat Intelligence Team.
“I synnerhet tar LemonDuck bort andra angripare från en komprometterad enhet genom att bli av med konkurrerande skadlig programvara och förhindra nya infektioner genom att lappa samma sårbarheter som de använde för att få tillgång.”
Ciscos talosforskare i Talos har också granskat gruppens Exchange-aktiviteter. Det visade sig att LemonDuck använde automatiserade verktyg för att skanna, upptäcka och utnyttja servrar innan de laddade nyttolast som Cobalt Strike-testtestpaketet – ett föredraget verktyg för sidorörelse – och webbskal, så att skadlig kod kan installera ytterligare moduler.
Enligt Microsoft slog LemonDuck ursprungligen Kina kraftigt, men det har nu expanderat till USA, Ryssland, Tyskland, Storbritannien, Indien, Korea, Kanada, Frankrike och Vietnam. Det fokuserar på tillverknings- och IoT-sektorerna.
I år ökade gruppen upp hands-on-keyboard eller manuell hacking efter ett första intrång. Gruppen är selektiv med sina mål.
Det skapade också automatiserade uppgifter för att utnyttja den eviga blå SMB-exploateringen från NSA som läcktes ut av Kreml-backade hackare och som användes i 2017 WannCry-ransomware-attacken.
“Uppgiften användes för att få in PCASTLE-verktyget för att uppnå ett par mål: missbruka EternalBlue SMB-utnyttjandet, samt använda brute force eller pass-the-hash för att röra sig i sidled och börja operationen igen. Många av dessa beteenden är fortfarande observeras i LemondDuck-kampanjer idag, “noterar Microsofts säkerhetsteam.
LemonDuck fick sitt namn från variabeln “Lemon_Duck” i ett PowerShell-skript som fungerar som användaragent för att spåra infekterade enheter.
De sårbarheter det inriktar sig på för första kompromissen inkluderar CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) och CVE-2021-27065 (ProxyLogon).
“En gång i ett system med en Outlook-postlåda, som en del av dess normala exploateringsbeteende, försöker LemonDuck att köra ett skript som använder referenserna på enheten. Skriptet instruerar brevlådan att skicka kopior phishing-meddelande med förinställda meddelanden och bilagor till alla kontakter, “noterar Microsoft.
Säkerhet
Kaseya-ransomware-attack: Vad du behöver veta Surfshark VPN-granskning: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN-tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar fler attacker (ZDNet YouTube)
Relaterade ämnen :
Säkerhets-TV-datahantering CXO-datacenter 