Microsoft advarer kunder om LemonDuck crypto mining malware, der er målrettet mod både Windows- og Linux-systemer og spredes via phishing-e-mails, exploits, USB-enheder og brute force-angreb såvel som angreb rettet mod kritiske lokale Exchange Server-sårbarheder, der er afsløret i marts .
Også: De 25 farligste softwareproblemer, du skal holde øje med
Gruppen var opdagede, at de brugte Exchange-bugs til minedrift til kryptokurrency i maj, to år efter at den først opstod.
Navnlig udnytter gruppen bag LemonDuck højt profilerede sikkerhedsfejl ved at udnytte ældre sårbarheder i perioder, hvor sikkerhedsteam er fokuseret på at rette kritiske fejl og endda fjerne rivaliserende malware.
“[LemonDuck] bruger fortsat ældre sårbarheder, hvilket gavner angriberne på tidspunkter, hvor fokus skifter til at lappe en populær sårbarhed snarere end at undersøge kompromis,” bemærker Microsoft 365 Defender Threat Intelligence Team.
“Især fjerner LemonDuck andre angribere fra en kompromitteret enhed ved at slippe af med konkurrerende malware og forhindre nye infektioner ved at lappe de samme sårbarheder, som de brugte for at få adgang.”
Ciscos Talos-malware-forskere har også gennemgået gruppens Exchange-aktiviteter. Det fandt ud af, at LemonDuck brugte automatiserede værktøjer til at scanne, opdage og udnytte servere, inden de indlæste nyttelast såsom Cobalt Strike pen-test-kit – et foretrukket værktøj til lateral bevægelse – og webskaller, så malware kunne installere yderligere moduler.
Ifølge Microsoft ramte LemonDuck oprindeligt Kina stærkt, men det er nu udvidet til USA, Rusland, Tyskland, Storbritannien, Indien, Korea, Canada, Frankrig og Vietnam. Det fokuserer på produktions- og IoT-sektorerne.
I år løb gruppen op med hands-on-keyboard eller manuel hacking efter en indledende overtrædelse. Gruppen er selektiv med sine mål.
Det lavede også automatiserede opgaver til at udnytte den evige blå SMB-udnyttelse fra NSA, der blev lækket af Kreml-støttede hackere og brugt i WannCry-ransomware-angrebet i 2017.
“Opgaven blev brugt til at bringe PCASTLE-værktøjet til at nå et par mål: misbruge EternalBlue SMB-udnyttelsen samt bruge brutal kraft eller pass-the-hash til at bevæge sig sideværts og begynde operationen igen. Mange af disse adfærd er stadig observeret i LemondDuck-kampagner i dag, ”bemærker Microsofts sikkerhedsteam.
LemonDuck fik sit navn fra variablen “Lemon_Duck” i et PowerShell-script, der fungerer som brugeragent til at spore inficerede enheder.
De sårbarheder, den målretter mod indledende kompromis, inkluderer CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) og CVE-2021-27065 (ProxyLogon).
“Når det er inde i et system med en Outlook-postkasse, som en del af dets normale udnyttelsesadfærd, forsøger LemonDuck at køre et script, der bruger de legitimationsoplysninger, der findes på enheden. Scriptet instruerer postkassen om at sende kopier af en phishing-besked med forudindstillede beskeder og vedhæftede filer til alle kontakter, “bemærker Microsoft.
Sikkerhed
Kaseya ransomware angreb: Hvad du har brug for at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af personlige oplysninger Cybersikkerhed 101: Beskyt dit privatliv De bedste antivirussoftware og -apps De bedste VPN'er til forretnings- og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Sikkerhed TV-datastyring CXO-datacentre 