Το Lemon_Duck cryptomining malware έχει αναβαθμιστεί ώστε να μπορεί να παραβιάσει συστήματα Linux (μέσω SSH brute force επιθέσεων), να εκμεταλλευτεί συστήματα ευάλωτα στην ευπάθεια SMBGhost και να μολύνει servers που τρέχουν τα Redis και Hadoop.
Το Lemon_Duck cryptomining malware, που εντοπίστηκε πέρυσι από την Trend Micro και εξετάστηκε περαιτέρω από τη SentinelOne, στοχεύει συνήθως εταιρικά δίκτυα, αποκτώντας πρόσβαση στην υπηρεσία MS SQL μέσω brute-force ή στο πρωτόκολλο SMB χρησιμοποιώντας το EternalBlue exploit.
Μόλις μολύνει επιτυχώς μια συσκευή, το malware εγκαθιστά ένα XMRig Monero (XMR) CPU miner payload που χρησιμοποιεί τους πόρους του παραβιασμένου συστήματος για να εξορύξει cryptocurrency για τους χειριστές του Lemon_Duck.
Το Lemon_Duck cryptomining malware ψάχνει για Linux συστήματα και cloud εφαρμογές
Για να βρει συσκευές Linux που μπορεί να μολύνει μέσω SSH brute force επιθέσεων, το Lemon_Duck χρησιμοποιεί μια μονάδα σάρωσης θυρών, που αναζητά συστήματα Linux συνδεδεμένα στο Διαδίκτυο, με εκτεθειμένη τη θύρα 22 TCP που χρησιμοποιείται για την Απομακρυσμένη σύνδεση SSH (SSH Remote Login).
“Όταν τα βρίσκει, ξεκινά μια SSH brute force επίθεση σε αυτά τα μηχανήματα, με το username root και μια λίστα με κωδικούς πρόσβασης”, δήλωσε ο ερευνητής ασφαλείας της Sophos, Rajesh Nataraj. “Εάν η επίθεση είναι επιτυχής, οι εισβολείς κατεβάζουν και εκτελούν κακόβουλο κώδικα”.
Για να βεβαιωθούν ότι το malware θα επιβιώσει μεταξύ των επανεκκινήσεων του συστήματος, προστίθεται το cron job.
Στη συνέχεια, το Lemon_Duck cryptomining malware αναζητά περισσότερες συσκευές Linux για να εγκαταστήσει payloads, συλλέγοντας SSH credentials από το αρχείο /.ssh/known_hosts.
Επίσης, το Lemon_Duck έχει την ικανότητα να εξουδετερώνει άλλα cryptominers που μπορεί να έχουν εγκατασταθεί στα Linux συστήματα, για να βεβαιωθεί ότι μόνο οι χειριστές του μπορούν να κλέψουν cryptocurrencies.
Το Lemon_Duck cryptomining malware αναβαθμίστηκε για νέες επιθέσεις
Το cryptojacker διανέμεται, επίσης, μέσω μεγάλης κλίμακας spam εκστρατειών με θέμα τον COVID-19. Το malware χρησιμοποιεί ένα RTF exploit που στοχεύει την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα του Microsoft Office (RCE) CVE-2017-8570, για να παραδώσει το κακόβουλο payload.
Πρόσφατα, οι χειριστές του Lemon_Duck πρόσθεσαν μια λειτουργία που εκμεταλλεύεται την ευπάθεια SMBGhost (CVE-2020-0796) των Windows.
Ωστόσο, αντί να εκμεταλλευτούν αυτή την ευπάθεια για την εκτέλεση κακόβουλου κώδικα, οι χειριστές του malware την χρησιμοποιούν για να συλλέξουν πληροφορίες σχετικά με τους παραβιασμένους υπολογιστές.
Για περίπου δύο μήνες, μεταξύ Ιουνίου και Αυγούστου, οι hackers πίσω από το Lemon Duck cryptomining malware απενεργοποίησαν τις λειτουργίες EternalBlue και Mimikatz, πιθανότατα για να δουν την αποτελεσματικότητα του SMBGhost.
Μετά την ανάπτυξη του XMRig miner στις παραβιασμένες συσκευές, το malware θα προσπαθήσει να απενεργοποιήσει το SMBv3 και να μπλοκάρει τις SMB θύρες 445 και 135 για να εμποδίσει άλλους να εκμεταλλευτούν τα μολυσμένα, ευάλωτα συστήματα.
Επιπλέον, οι χειριστές του Lemon_Duck cryptomining malware έχουν προσθέσει υποστήριξη για σάρωση και παραβίαση servers με εκτεθειμένες βάσεις δεδομένων Redis (REmote DIctionary Server) και Hadoop clusters, η διαχείριση των οποίων γίνεται με τη χρήση του YARN (Yet Another Resource Negotiator).
“Το Lemon_Duck cryptomining malware είναι ένας από τους πιο προηγμένους τύπους cryptojacker payloads“, εξήγησε ο ερευνητής ασφαλείας της Sophos Rajesh Nataraj.
“Οι δημιουργοί του ενημερώνουν συνεχώς τον κώδικα με νέες τεχνικές για να αποφύγουν την ανίχνευση και το ίδιο το miner είναι fileless, που σημαίνει ότι δεν αφήνει ίχνη στο σύστημα αρχείων του θύματος”.