Neslávne známy malvér na ťažbu kryptomien pokračoval vo zdokonaľovaní a zdokonaľovaní svojich techník na zasiahnutie oboch. Windows a operačné systémy Linux tým, že sa zameriava na staršie zraniteľnosti a súčasne využíva rôzne mechanizmy šírenia s cieľom maximalizovať efektivitu svojich kampaní.
“LemonDuck, aktívne aktualizovaný a robustný malvér, ktorý je známy predovšetkým svojimi cieľmi v oblasti botnetov a kryptomien, nasledoval rovnakú trajektóriu, keď prijal sofistikovanejšie správanie a eskaloval svoje operácie,” uviedol Microsoft v technickom zázname zverejnenom minulý týždeň. „Dnes, okrem využívania zdrojov na svoje tradičné robotické a ťažobné aktivity, LemonDuck kradne poverenia, odstraňuje bezpečnostné kontroly, šíri sa prostredníctvom e-mailov, presúva sa laterálne a v konečnom dôsledku upúšťa od ďalších nástrojov pre ľudskú činnosť.“
Malvér je známy svojou schopnosťou rýchlo sa šíriť cez infikovanú sieť, aby sa uľahčila krádež informácií a premenili stroje na robotov na ťažbu kryptomien presmerovaním ich výpočtových zdrojov na nelegálnu ťažbu kryptomien. Najmä LemonDuck funguje ako nakladač pre následné útoky, ktoré zahŕňajú krádež poverení a inštaláciu implantátov ďalšej fázy, ktoré by mohli pôsobiť ako brána k rôznym škodlivým hrozbám vrátane ransomvéru.
Aktivity spoločnosti LemonDuck boli prvýkrát zaznamenané v Číne v máji 2019, predtým, ako začala v roku 2020 prijímať návnady s tematikou COVID-19 v e-mailových útokoch a dokonca aj nedávno vyriešené chyby servera „ProxyLogon“ Exchange Server na získanie prístupu k neoplateným systémom. Ďalšou pozoruhodnou taktikou je jej schopnosť vymazať „ostatných útočníkov z napadnutého zariadenia tým, že sa zbavíte konkurenčného malvéru a zabránite akýmkoľvek novým infekciám opravou rovnakých zraniteľností, ktoré použil na získanie prístupu“.
Útoky zahŕňajúce malvér LemonDuck boli primárne zamerané na sektor výroby a internetu vecí, pričom najviac stretnutí boli svedkami USA, Rusko, Čína, Nemecko, Spojené kráľovstvo, India, Kórea, Kanada, Francúzsko a Vietnam.
Okrem toho spoločnosť Microsoft predstavila operácie druhého subjektu, ktorý sa spolieha na LemonDuck pri dosahovaní „samostatných cieľov“, ktoré spoločnosť nazvala „LemonCat“. Útočná infraštruktúra spojená s variantom „Cat“ sa údajne objavila v januári 2021, čo v konečnom dôsledku viedlo k jej použitiu pri útokoch využívajúcich zraniteľné miesta zamerané na server Microsoft Exchange Server. Následné prieniky využívajúce domény Cat mali za následok inštaláciu zadných vrátok, krádež poverení a údajov a doručenie škodlivého softvéru, často Windows trójsky kôň s názvom Ramnit.
„Skutočnosť, že infraštruktúra Cat sa používa na nebezpečnejšie kampane, neznižuje priority malvérových infekcií z infraštruktúry Duck,“ povedal Microsoft. “Namiesto toho táto inteligencia pridáva dôležitý kontext na pochopenie tejto hrozby: rovnaký súbor nástrojov, prístupu a metód možno opätovne použiť v dynamických intervaloch, aby sa dosiahol väčší účinok.”
Aktualizácia: Pri hlbšom skúmaní správania útočníkov po infekcii Microsoft vo štvrtok odhalil propagačnú taktiku LemonDuck, ktorá počíta s kompromismi iniciovanými okrajom a e-mailovými kampaňami riadenými robotmi, pričom poznamenala, že využíva bezsúborové techniky škodlivého softvéru, aby bola náprava a odstránenie netriviálne.
„LemonDuck sa pokúša automaticky deaktivovať Microsoft Defender for Endpoint monitorovanie v reálnom čase a pridáva celé diskové jednotky – konkrétne jednotku C: – do zoznamu vylúčení Microsoft Defender,“ uviedol tím Microsoft 365 Defender Threat Intelligence Team, ktorý odráža taktiku, ktorá bola nedávno zverejnená. ako ho prijal nový kmeň malvéru s názvom „MosaicLoader“ na zmarenie antivírusového skenovania.
Útočný reťazec tiež údajne využíva širokú škálu voľne dostupných open source a vlastných sád nástrojov na uľahčenie krádeže poverení, bočného pohybu, eskalácie privilégií a dokonca vymazania stôp všetkých ostatných botnetov, minerov a konkurenčného malvéru z napadnutého zariadenia, pri sťahovaní baníckeho implantátu XMRig v rámci mechanizmu monetizácie.
