Microsoft har fortsatt sin analys av LemonDuck-skadlig programvara, känd för att installera krypto-gruvarbetare i företagsmiljöer. Det är ett starkt argument för varför det är värt att ta bort det från ditt nätverk.
Denna grupp, enligt Microsoft, har en välsorterad arsenal av hackverktyg, tricks och bedrifter som syftar till en sak: att deras skadliga programvara ska behålla exklusiv tillgång till ett komprometterat nätverk så länge som möjligt.
Även om krypto-mining-malware bara kan vara en olägenhet, föreslår LemonDuck-attribut att angripargruppen verkligen försöker äga komprometterade nätverk genom att inaktivera anti-malware, ta bort rivaliserande skadlig kod och till och med automatiskt korrigera sårbarheter-ett konkurrenskraftigt försök att hindra rivaliserande angripare från att mata av gräset.
“Detta gör det möjligt för dem att begränsa attackens synlighet till [säkerhetsoperationscentralen] -analytiker inom en organisation som kanske prioriterar opatchade enheter för utredning, eller som skulle förbise enheter som inte har en stor mängd skadlig programvara,” förklarade Microsoft i en uppföljningsanalys av LemonDuck till en som den publicerade tidigare.
De kritiska så kallade ProxyLogon Microsoft Exchange Server-exploaterna från mars och april behandlades på detta sätt av LemonDuck-angripare. De använde buggarna för att installera webbskal på Exchange -servrar för fjärråtkomst till opatchade system och för att installera ytterligare LemonDuck -skadlig kod. I vissa fall använde LemonDuck-angripare bytt namn på kopior av Microsoft Exchange On-Premises Mitigation Tool (släpptes av Microsoft den 15 mars) för att åtgärda felet som de hade använt för att få åtkomst i första hand, enligt Microsoft.
“De gjorde det samtidigt som de hade full tillgång till komprometterade enheter och begränsade andra aktörer från att missbruka samma Exchange -sårbarheter”, tillägger det.
De använder också filfri malware som kör i minnet och processinjektion, vilket gör det svårare att ta bort från en miljö.
Microsofts beskrivning av LemonDucks tekniker och verktyg tyder på att gruppen anstränger sig mycket för att vara svårt att starta ett nätverk samtidigt som man använder flera metoder för att få fotfäste, inklusive exploater, lösenordsgissningsattacker och utnyttjanden mot SSH, MSSQL, SMB, Exchange, RDP , REDIS och Hadoop YARN för Linux- och Windows -system.
LemonDucks automatiska post är beroende av en liten fil med JavaScript för att starta en PowerShell CMD -process som startar Notepad och PowerShell -skriptet inuti JavaScript.
Den manuella posten innehåller RDP brute force -lösenordsattacker eller Exchange -buggar. Mänskliga aktörer genererar schemalagda uppgifter och skript för att skapa fillös uthållighet genom att köra PowerShell-nedladdningsskriptet igen för att dra in kommando- och kontrollinfrastruktur (C2). Det handlar om att återaktivera alla skadliga program som har inaktiverats eller tagits bort. Kom ihåg att webbskal kvarstår på ett system även efter att de har patchats.
För att göra uthållighet mer motståndskraft värd de skript på flera webbplatser (vilket gör det svårt att ta bort), och som en säkerhetskopia använder de också WMI Event Consumers, eller en arsenal av verktyg som inkluderar åtkomst RDP -åtkomst, Exchange -webbskal, Screen Connect, och fjärråtkomstverktyg (RAT).
LemonDuck försöker automatiskt inaktivera den molnbaserade övervakningen i realtid av Microsoft Defender för slutpunkt genom att lägga till hela C: -enheten i listan över uteslutningar från Microsoft Defender. Windows 10 “Sabotageskydd” bör förhindra dessa åtgärder.
Andra leverantörer som är inriktade på LemonDucks verksamhet för borttagning av skadlig kod inkluderar ESET, Kaspersky, Avast, Norton Security och MalwareBytes.
Ett av LemonDucks verktyg försöker bedöma om en komprometterad enhet kör Outlook i ett nätverk. I så fall genomsöker det brevlådan efter kontakter och börjar sprida skadlig kod i e -postmeddelanden med .zip-, .js- eller .doc/.rtf -filer bifogade.
“Angriparna observerades också manuellt för att komma in i en miljö igen, särskilt i fall där kantproblem användes som en första inmatningsvektor”, förklarar Microsoft.
“Angriparna korrigerar också sårbarheten de använde för att komma in i nätverket för att förhindra att andra angripare tar sig in. Som nämnts sågs angriparna använda en kopia av ett Microsoft-tillhandahållet lindringsverktyg för Exchange ProxyLogon-sårbarhet, som de var värd för i sin infrastruktur, för att se till att andra angripare inte får åtkomst till webbskal som de hade. ”
Med andra ord kan LemonDuck bara distribuera krypto-gruvarbetare som tömmer CPU-resurser, men längden de går för att stanna på ett nätverk sätter dem i ett annat ljus än bara en olägenhet. Det kan vara väl värt säkerhetsteamens tid att granska Microsofts tips mot slutet av sin analys för att jaga LemonDuck-hot och verktyg på ett nätverk för när LemonDuck väl är ombord vill det verkligen inte lämna.
Relaterade ämnen:
Säkerhets -TV -datahantering CXO -datacenter 