Microsoft advarer kunder om LemonDuck crypto mining malware som er rettet mot både Windows- og Linux-systemer og spres via phishing-e-post, utnyttelser, USB-enheter og brute force-angrep, samt angrep rettet mot kritiske lokale Exchange Server-sårbarheter som ble avdekket i mars. .
Også: De 25 farligste programvaresårbarhetene å passe på
Gruppen var oppdaget at de brukte Exchange-bugs til gruvedrift for kryptovaluta i mai, to år etter at den først kom fram.
Spesielt bruker gruppen bak LemonDuck fordelene med høyprofilerte sikkerhetsfeil ved å utnytte eldre sårbarheter i perioder der sikkerhetsteam er fokusert på å lappe kritiske feil, og til og med fjerne rivaliserende skadelig programvare.
“[LemonDuck] bruker fortsatt eldre sårbarheter, som gagner angriperne til tider når fokus skifter til å lappe et populært sårbarhet i stedet for å undersøke kompromisser,” bemerker Microsoft 365 Defender Threat Intelligence Team.
“Spesielt fjerner LemonDuck andre angripere fra en kompromittert enhet ved å kvitte seg med konkurrerende skadelig programvare og forhindre nye infeksjoner ved å lappe de samme sårbarhetene som de brukte for å få tilgang.”
Ciscos forskere om skadelig programvare fra Talos har også undersøkt gruppens Exchange-aktiviteter. Det fant ut at LemonDuck brukte automatiserte verktøy for å skanne, oppdage og utnytte servere før de lastet nyttelast som Cobalt Strike pennetestesett – et foretrukket verktøy for sidebevegelse – og nettskall, slik at skadelig programvare kunne installere flere moduler.
I følge Microsoft slo LemonDuck opprinnelig Kina tungt, men det har nå utvidet seg til USA, Russland, Tyskland, Storbritannia, India, Korea, Canada, Frankrike og Vietnam. Den fokuserer på produksjon og IoT-sektorer.
I år trappet gruppen opp hands-on-keyboard eller manuell hacking etter et første brudd. Gruppen er selektiv med sine mål.
Det laget også automatiserte oppgaver for å utnytte Eternal Blue SMB-utnyttelsen fra NSA som ble lekket av hackere støttet av Kreml og brukt i WannCry-ransomware-angrepet i 2017.
“Oppgaven ble brukt til å hente inn PCASTLE-verktøyet for å oppnå et par mål: misbruke EternalBlue SMB-utnyttelsen, samt bruke brutal kraft eller pass-the-hash for å bevege seg sideveis og begynne operasjonen igjen. Mange av disse atferdene er fortsatt observert i LemondDuck-kampanjer i dag, “bemerker Microsofts sikkerhetsteam.
LemonDuck fikk navnet sitt fra variabelen “Lemon_Duck” i et PowerShell-skript som fungerer som brukeragent for å spore infiserte enheter.
Sårbarhetene den målretter mot innledende kompromiss inkluderer CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) og CVE-2021-27065 (ProxyLogon).
“Når LemonDuck er inne i et system med en postkasse i Outlook, prøver LemonDuck å kjøre et skript som bruker legitimasjonen som er på enheten. Skriptet instruerer postkassen om å sende kopier av en phishing-melding med forhåndsinnstilte meldinger og vedlegg til alle kontakter, “bemerker Microsoft.
Sikkerhet
Kaseya-ransomware-angrep: Hva du trenger å vite om Surfshark VPN-gjennomgang: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt De beste antivirusprogramvarene og appene De beste VPN-ene for forretnings- og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
Sikkerhet TV Data Management CXO datasentre 