Δευτέρα, 25 Ιανουαρίου, 19:25
Αρχική security Το Lemon_Duck cryptomining malware στοχεύει Linux συστήματα

Το Lemon_Duck cryptomining malware στοχεύει Linux συστήματα

Lemon_Duck cryptomining malware

Το Lemon_Duck cryptomining malware έχει αναβαθμιστεί ώστε να μπορεί να παραβιάσει συστήματα Linux (μέσω SSH brute force επιθέσεων), να εκμεταλλευτεί συστήματα ευάλωτα στην ευπάθεια SMBGhost και να μολύνει servers που τρέχουν τα Redis και Hadoop.

Το Lemon_Duck cryptomining malware, που εντοπίστηκε πέρυσι από την Trend Micro και εξετάστηκε περαιτέρω από τη SentinelOne, στοχεύει συνήθως εταιρικά δίκτυα, αποκτώντας πρόσβαση στην υπηρεσία MS SQL μέσω brute-force ή στο πρωτόκολλο SMB χρησιμοποιώντας το EternalBlue exploit.

Μόλις μολύνει επιτυχώς μια συσκευή, το malware εγκαθιστά ένα XMRig Monero (XMR) CPU miner payload που χρησιμοποιεί τους πόρους του παραβιασμένου συστήματος για να εξορύξει cryptocurrency για τους χειριστές του Lemon_Duck.

Το Lemon_Duck cryptomining malware ψάχνει για Linux συστήματα και cloud εφαρμογές

Για να βρει συσκευές Linux που μπορεί να μολύνει μέσω SSH brute force επιθέσεων, το Lemon_Duck χρησιμοποιεί μια μονάδα σάρωσης θυρών, που αναζητά συστήματα Linux συνδεδεμένα στο Διαδίκτυο, με εκτεθειμένη τη θύρα 22 TCP που χρησιμοποιείται για την Απομακρυσμένη σύνδεση SSH (SSH Remote Login).

“Όταν τα βρίσκει, ξεκινά μια SSH brute force επίθεση σε αυτά τα μηχανήματα, με το username root και μια λίστα με κωδικούς πρόσβασης”, δήλωσε ο ερευνητής ασφαλείας της Sophos, Rajesh Nataraj. “Εάν η επίθεση είναι επιτυχής, οι εισβολείς κατεβάζουν και εκτελούν κακόβουλο κώδικα”.

Για να βεβαιωθούν ότι το malware θα επιβιώσει μεταξύ των επανεκκινήσεων του συστήματος, προστίθεται το cron job.

Στη συνέχεια, το Lemon_Duck cryptomining malware αναζητά περισσότερες συσκευές Linux για να εγκαταστήσει payloads, συλλέγοντας SSH credentials από το αρχείο /.ssh/known_hosts.

Επίσης, το Lemon_Duck έχει την ικανότητα να εξουδετερώνει άλλα cryptominers που μπορεί να έχουν εγκατασταθεί στα Linux συστήματα, για να βεβαιωθεί ότι μόνο οι χειριστές του μπορούν να κλέψουν cryptocurrencies.

Linux

Το Lemon_Duck cryptomining malware αναβαθμίστηκε για νέες επιθέσεις

Το cryptojacker διανέμεται, επίσης, μέσω μεγάλης κλίμακας spam εκστρατειών με θέμα τον COVID-19. Το malware χρησιμοποιεί ένα RTF exploit που στοχεύει την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα του Microsoft Office (RCE) CVE-2017-8570, για να παραδώσει το κακόβουλο payload.

Πρόσφατα, οι χειριστές του Lemon_Duck πρόσθεσαν μια λειτουργία που εκμεταλλεύεται την ευπάθεια SMBGhost (CVE-2020-0796) των Windows.

Ωστόσο, αντί να εκμεταλλευτούν αυτή την ευπάθεια για την εκτέλεση κακόβουλου κώδικα, οι χειριστές του malware την χρησιμοποιούν για να συλλέξουν πληροφορίες σχετικά με τους παραβιασμένους υπολογιστές.

Για περίπου δύο μήνες, μεταξύ Ιουνίου και Αυγούστου, οι hackers πίσω από το Lemon Duck cryptomining malware απενεργοποίησαν τις λειτουργίες EternalBlue και Mimikatz, πιθανότατα για να δουν την αποτελεσματικότητα του SMBGhost.

Μετά την ανάπτυξη του XMRig miner στις παραβιασμένες συσκευές, το malware θα προσπαθήσει να απενεργοποιήσει το SMBv3 και να μπλοκάρει τις SMB θύρες 445 και 135 για να εμποδίσει άλλους να εκμεταλλευτούν τα μολυσμένα, ευάλωτα συστήματα.

Επιπλέον, οι χειριστές του Lemon_Duck cryptomining malware έχουν προσθέσει υποστήριξη για σάρωση και παραβίαση servers με εκτεθειμένες βάσεις δεδομένων Redis (REmote DIctionary Server) και Hadoop clusters, η διαχείριση των οποίων γίνεται με τη χρήση του YARN (Yet Another Resource Negotiator).

“Το Lemon_Duck cryptomining malware είναι ένας από τους πιο προηγμένους τύπους cryptojacker payloads“, εξήγησε ο ερευνητής ασφαλείας της Sophos Rajesh Nataraj.

“Οι δημιουργοί του ενημερώνουν συνεχώς τον κώδικα με νέες τεχνικές για να αποφύγουν την ανίχνευση και το ίδιο το miner είναι fileless, που σημαίνει ότι δεν αφήνει ίχνη στο σύστημα αρχείων του θύματος”.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

iPhone: Πώς να δείτε ποιες εφαρμογές έχουν πρόσβαση στις επαφές σας

Κάποια ζητήματα απορρήτου του iPhone πηγαίνουν βαθύτερα από την πρόσβαση στη λίστα των επαφών σας, η οποία εκθέτει τις επαφές σας σε...

COVID-19: Η Google κάνει τις εγκαταστάσεις της κλινικές εμβολιασμού

Ο Διευθύνων Σύμβουλος της Google Sundar Pichai δήλωσε τη Δευτέρα ότι η εταιρεία θα διαθέσει τις εγκαταστάσεις της για να γίνουν κλινικές...

Το Netflix προσφέρει αναβάθμιση ήχου «ποιότητας στούντιο» στα Android

Μην εκπλαγείτε εάν το Netflix ο ήχος ακούγεται καλύτερος την επόμενη φορά που θα κάνετε ένα μαραθώνιο με σειρές στο Android τηλέφωνο...

Το Bitcoin θα επιστρέψει στα 40.000 δολάρια; Επικρατεί προβληματισμός!

Οι λάτρεις του Bitcoin που θεωρούν δεδομένη την επιστροφή του πάνω από το επίπεδο των 40.000 δολαρίων έχουν προβληματιστεί επειδή η ζήτηση...

Avaddon ransomware: Οι χειριστές του απειλούν με DDoS επιθέσεις για να λάβουν λύτρα!

Τον τελευταίο καιρό, όλο και περισσότερες ransomware συμμορίες τείνουν να απειλούν με DDoS επιθέσεις τους εκάστοτε στόχους τους, προκειμένου να διασφαλίσουν κέρδη....

Εθελοντές πυροσβέστες θα εκπαιδευτούν μέσω προσομοίωσης VR

Οι εθελοντές πυροσβέστες στην πολιτεία Βικτώρια της Αυστραλίας θα έχουν σύντομα πρόσβαση στην εκπαίδευση εικονικής πραγματικότητας (VR) που πρόκειται να διατεθεί σε...

Tesla: Κατηγορεί πρώην υπάλληλό της για κλοπή εμπιστευτικών data της!

Στις 23 Ιανουαρίου, η Tesla μήνυσε τον πρώην υπάλληλο της Alex Khatilov για κλοπή 26.000 εμπιστευτικών εγγράφων, συμπεριλαμβανομένων εμπορικών μυστικών. Ο software...

Η SpaceX εκτόξευσε ταυτόχρονα 143 δορυφόρους

Η SpaceX έσπασε κάθε ρεκόρ με την τελευταία της αποστολή διαστημικού σκάφους σε τροχιά. Η εταιρεία εκτόξευσε με επιτυχία την αποστολή Transporter-1...

Η Sony ίσως αναστήσει το Xperia Compact για να ανταγωνιστεί την Apple

Είδατε το iPhone 12 mini και επιθυμείτε να υπάρχει ένα Android ισοδύναμο με αυτό το μικρό αλλά ισχυρό smartphone; Μπορεί η επιθυμία...

Η τεχνητή νοημοσύνη (AI) μπορεί μια μέρα να χρησιμοποιηθεί εναντίον μας

Οι αλγόριθμοι AI μας προσφέρουν τις ειδήσεις που διαβάζουμε, τις διαφημίσεις που βλέπουμε, και σε ορισμένες περιπτώσεις οδηγούν ακόμη και τα αυτοκίνητά...