Microsoft warnt Kunden vor der Krypto-Mining-Malware LemonDuck, die sowohl auf Windows- als auch auf Linux-Systeme abzielt und sich über Phishing-E-Mails, Exploits, USB-Geräte und Brute-Force-Angriffe verbreitet .
Außerdem: Die 25 gefährlichsten Software-Schwachstellen, auf die man achten sollte
Die Gruppe war entdeckt, dass sie im Mai, zwei Jahre nach ihrem ersten Auftreten, Exchange-Bugs zum Minen von Kryptowährungen verwenden.
Insbesondere nutzt die Gruppe hinter LemonDuck hochkarätige Sicherheitslücken, indem sie ältere Schwachstellen in Zeiten ausnutzt, in denen sich Sicherheitsteams darauf konzentrieren, kritische Fehler zu beheben und sogar konkurrierende Malware zu entfernen.
“[LemonDuck] verwendet weiterhin ältere Sicherheitslücken, von denen die Angreifer manchmal profitieren, wenn sich der Fokus auf das Patchen einer beliebten Sicherheitslücke verlagert, anstatt eine Kompromittierung zu untersuchen”, der Hinweis des Microsoft 365 Defender Threat Intelligence-Teams.
“Bemerkenswerterweise entfernt LemonDuck andere Angreifer von einem kompromittierten Gerät, indem es konkurrierende Malware entfernt und neue Infektionen verhindert, indem die gleichen Schwachstellen gepatcht werden, die es für den Zugriff verwendet hat.”
Ciscos Talos-Malware-Forscher haben auch die Exchange-Aktivitäten der Gruppe untersucht. Es stellte sich heraus, dass LemonDuck automatisierte Tools verwendet, um Server zu scannen, zu erkennen und auszunutzen, bevor Nutzlasten geladen werden, wie das Cobalt Strike Pen-Testing-Kit – ein bevorzugtes Tool für laterale Bewegungen – und Web-Shells, die es Malware ermöglichen, zusätzliche Module zu installieren.
Laut Microsoft hat LemonDuck China zunächst schwer getroffen, hat sich aber inzwischen auf die USA, Russland, Deutschland, Großbritannien, Indien, Korea, Kanada, Frankreich und Vietnam ausgeweitet. Es konzentriert sich auf die Bereiche Fertigung und IoT.
In diesem Jahr hat die Gruppe nach einer ersten Sicherheitsverletzung das manuelle oder manuelle Hacking intensiviert. Die Gruppe ist mit ihren Zielen selektiv.
Es wurden auch automatisierte Aufgaben erstellt, um den Eternal Blue SMB-Exploit der NSA auszunutzen, der von vom Kreml unterstützten Hackern durchgesickert und beim WannCry-Ransomware-Angriff 2017 verwendet wurde.
„Die Aufgabe wurde verwendet, um das PCASTLE-Tool einzuführen, um einige Ziele zu erreichen: Missbrauch des EternalBlue-SMB-Exploits sowie Verwendung von Brute Force oder Pass-the-Hash, um sich seitlich zu bewegen und die Operation erneut zu beginnen. Viele dieser Verhaltensweisen sind noch heute in LemondDuck-Kampagnen beobachtet”, stellt das Sicherheitsteam von Microsoft fest.
LemonDuck hat seinen Namen von der Variablen “Lemon_Duck” in einem PowerShell-Skript, das als Benutzeragent zum Verfolgen infizierter Geräte fungiert.
Zu den Schwachstellen, die es für die erste Kompromittierung anvisiert, gehören CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) und CVE-2021-27065 (ProxyLogon).
“In einem System mit einem Outlook-Postfach versucht LemonDuck im Rahmen seines normalen Ausnutzungsverhaltens, ein Skript auszuführen, das die auf dem Gerät vorhandenen Anmeldeinformationen verwendet. Das Skript weist das Postfach an, Kopien einer Phishing-Nachricht mit voreingestellten Nachrichten und Anhängen an alle Kontakte”, stellt Microsoft fest.
Sicherheit
Kaseya-Ransomware-Angriff: Was Sie wissen müssen Surfshark VPN-Test: Es ist billig, aber ist es gut? Die besten Browser für den Datenschutz Cybersicherheit 101: Schützen Sie Ihre Privatsphäre Die besten Antiviren-Software und -Apps Die besten VPNs für Unternehmen und Privat Die besten Sicherheitsschlüssel für 2FA Wie Opfer, die das Lösegeld zahlen, weitere Angriffe fördern (ZDNet YouTube)
Verwandte Themen :
Sicherheitsfernsehdatenverwaltung CXO-Rechenzentren 