Microsoft ha continuato la sua analisi del malware LemonDuck, noto per l'installazione di crypto-miner in ambienti aziendali. È un valido motivo per cui vale la pena rimuoverlo dalla rete.
Questo gruppo, secondo Microsoft, ha un arsenale ben fornito di strumenti di hacking, trucchi ed exploit mirati a una cosa: che il loro malware mantenga l'accesso esclusivo a una rete compromessa il più a lungo possibile.
Mentre il malware per il mining di criptovalute potrebbe essere solo una seccatura, gli attributi di LemonDuck suggeriscono che il gruppo di aggressori cerca davvero di possedere le reti compromesse disabilitando l'anti-malware, rimuovendo il malware rivale e persino riparando automaticamente le vulnerabilità: uno sforzo competitivo per impedire agli aggressori rivali di nutrirsi fuori dal suo territorio.
“Ciò consente loro di limitare la visibilità dell'attacco agli analisti [del centro operativo di sicurezza] all'interno di un'organizzazione che potrebbero dare la priorità ai dispositivi senza patch per l'indagine o che ignorerebbero i dispositivi che non hanno un volume elevato di malware presente”, ha spiegato Microsoft in un'analisi di follow-up di LemonDuck a quella pubblicata in precedenza.
I cosiddetti exploit critici di Microsoft Exchange Server ProxyLogon di marzo e aprile sono stati trattati in questo modo dagli aggressori di LemonDuck. Hanno usato i bug per installare web shell sui server Exchange per l'accesso remoto a sistemi senza patch e per installare malware LemonDuck aggiuntivo. In alcuni casi, gli aggressori di LemonDuck hanno utilizzato copie rinominate dello strumento di mitigazione locale di Microsoft Exchange (rilasciato da Microsoft il 15 marzo) per correggere il bug che avevano utilizzato per ottenere l'accesso in primo luogo, secondo Microsoft.
“Lo hanno fatto mantenendo il pieno accesso ai dispositivi compromessi e limitando altri attori dall'abusare delle stesse vulnerabilità di Exchange”, aggiunge.
Utilizzano anche malware senza file che esegue in-memory e process injection, rendendo più difficile la rimozione da un ambiente.
La descrizione di Microsoft delle tecniche e degli strumenti di LemonDuck suggerisce che il gruppo si è impegnato molto per rendere difficile l'avvio di una rete utilizzando più metodi per ottenere un punto d'appoggio, inclusi exploit, attacchi di indovinare password ed exploit contro SSH, MSSQL, SMB, Exchange, RDP , REDIS e Hadoop YARN per sistemi Linux e Windows.
La voce automatizzata di LemonDuck si basa su un piccolo file con JavaScript per avviare un processo CMD di PowerShell che avvia Blocco note e lo script PowerShell all'interno di JavaScript.
La voce manuale include attacchi con password di forza bruta RDP o bug di Exchange. Gli attori umani generano attività pianificate e script per creare una persistenza senza file eseguendo nuovamente lo script di download di PowerShell per inserire l'infrastruttura di comando e controllo (C2). Si tratta di riattivare tutti i componenti malware che sono stati disabilitati o rimossi. Ricorda che le web shell persistono su un sistema anche dopo essere state patchate.
Per rendere più resiliente la persistenza, ospitano script su più siti (rendendone difficile la rimozione) e, come backup, utilizzano anche i consumatori di eventi WMI o un arsenale di strumenti che include l'accesso RDP, shell Web Exchange, Screen Connect, e strumenti di accesso remoto (RAT).
LemonDuck tenta di disabilitare automaticamente il monitoraggio in tempo reale di Microsoft Defender for Endpoint basato su cloud aggiungendo l'intera unità C: all'elenco di esclusione di Microsoft Defender. La “protezione contro le manomissioni” di Windows 10 dovrebbe impedire queste azioni.
Altri fornitori presi di mira dalle attività di rimozione anti-malware di LemonDuck includono ESET, Kaspersky, Avast, Norton Security e MalwareBytes.
Una volta all'interno di una rete, uno degli strumenti di LemonDuck cerca di valutare se un dispositivo compromesso esegue Outlook. In tal caso, esegue la scansione della casella di posta per i contatti e inizia a diffondere malware nelle e-mail con file .zip, .js o .doc/.rtf allegati.
“Gli aggressori sono stati anche osservati rientrare manualmente in un ambiente, specialmente nei casi in cui le vulnerabilità dei bordi sono state utilizzate come vettore di ingresso iniziale”, spiega Microsoft.
“Gli aggressori hanno anche corretto la vulnerabilità che hanno utilizzato per entrare nella rete per impedire ad altri aggressori di entrare. Come accennato, gli aggressori sono stati visti utilizzare una copia di uno strumento di mitigazione fornito da Microsoft per la vulnerabilità di Exchange ProxyLogon, che hanno ospitato sulla loro infrastruttura, per garantire che altri aggressori non ottengano l'accesso alla web shell come avevano fatto loro.”
In altre parole, LemonDuck potrebbe distribuire solo cripto-minatori che drenano le risorse della CPU, ma le lunghezze che impiegano per rimanere su una rete li mettono sotto una luce diversa rispetto a un semplice fastidio. Potrebbe valere la pena del tempo dei team di sicurezza per esaminare i suggerimenti di Microsoft verso la fine della sua analisi per la caccia alle minacce e agli strumenti LemonDuck su una rete, perché una volta che LemonDuck è a bordo, non vuole davvero andarsene.
Argomenti correlati:
Security TV Data Management CXO Data Center 