Microsoft waarschuwt klanten voor de LemonDuck-malware voor cryptomining die zich richt op zowel Windows- als Linux-systemen en zich verspreidt via phishing-e-mails, exploits, USB-apparaten en brute force-aanvallen, evenals aanvallen gericht op kritieke on-premise Exchange Server-kwetsbaarheden die in maart zijn ontdekt .
Ook: De 25 gevaarlijkste softwarekwetsbaarheden om op te letten
De groep was ontdekte in mei, twee jaar nadat het voor het eerst opdook, Exchange-bugs te gebruiken om cryptocurrency te minen.
Met name de groep achter LemonDuck profiteert van spraakmakende beveiligingsbugs door oudere kwetsbaarheden te misbruiken in perioden waarin beveiligingsteams zich richten op het patchen van kritieke fouten en zelfs het verwijderen van concurrerende malware.
“[LemonDuck] blijft oudere kwetsbaarheden gebruiken, die de aanvallers ten goede komen op momenten dat de focus verschuift naar het patchen van een populaire kwetsbaarheid in plaats van het onderzoeken van compromissen”, merkt het Microsoft 365 Defender Threat Intelligence Team op.
“Met name verwijdert LemonDuck andere aanvallers van een gecompromitteerd apparaat door concurrerende malware te verwijderen en nieuwe infecties te voorkomen door dezelfde kwetsbaarheden te patchen die het gebruikte om toegang te krijgen.”
Cisco's Talos-malwareonderzoekers hebben ook de Exchange-activiteiten van de groep onderzocht. Het ontdekte dat LemonDuck geautomatiseerde tools gebruikte om servers te scannen, te detecteren en te exploiteren voordat payloads werden geladen, zoals de Cobalt Strike-pentestkit – een favoriete tool voor laterale bewegingen – en webshells, waardoor malware extra modules kon installeren.
Volgens Microsoft trof LemonDuck China aanvankelijk zwaar, maar het is nu uitgebreid naar de VS, Rusland, Duitsland, het VK, India, Korea, Canada, Frankrijk en Vietnam. Het richt zich op de productie- en IoT-sectoren.
Dit jaar voerde de groep meer hands-on-keyboard of handmatig hacken uit na een eerste inbreuk. De groep is selectief met haar doelstellingen.
Het maakte ook geautomatiseerde taken om misbruik te maken van de Eternal Blue SMB-exploit van de NSA die was gelekt door door het Kremlin gesteunde hackers en die werd gebruikt bij de WannCry-ransomware-aanval van 2017.
“De taak werd gebruikt om de PCASTLE-tool binnen te halen om een aantal doelen te bereiken: misbruik maken van de EternalBlue SMB-exploit, evenals brute kracht of pass-the-hash gebruiken om lateraal te bewegen en de operatie opnieuw te starten. Veel van deze gedragingen zijn nog steeds waargenomen in LemondDuck-campagnes vandaag”, merkt het beveiligingsteam van Microsoft op.
LemonDuck dankt zijn naam aan de variabele “Lemon_Duck” in een PowerShell-script dat fungeert als de user-agent om geïnfecteerde apparaten te volgen.
De kwetsbaarheden waarop het zich richt voor een eerste compromis zijn CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) en CVE-2021-27065 (ProxyLogon).
“Eenmaal in een systeem met een Outlook-mailbox probeert LemonDuck, als onderdeel van het normale exploitatiegedrag, een script uit te voeren dat gebruikmaakt van de inloggegevens die op het apparaat aanwezig zijn. Het script geeft de mailbox de opdracht om kopieën van een phishingbericht met vooraf ingestelde berichten en bijlagen voor alle contacten”, merkt Microsoft op.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Beveiliging TV-gegevensbeheer CXO-datacenters 