Η Microsoft προειδοποιεί τους χρήστες σχετικά με το LemonDuck cryptomining malware που στοχεύει τόσο Windows όσο και Linux συστήματα και εξαπλώνεται μέσω phishing emails, exploits, USB, brute force επιθέσεων και επιθέσεων που εκμεταλλεύονται κρίσιμες ευπάθειες.
Δείτε επίσης: Το Lemon_Duck cryptomining malware στοχεύει Linux συστήματα
Η hacking ομάδα πίσω από το LemonDuck cryptomining malware εκμεταλλεύεται παλιότερα σφάλματα κατά τη διάρκεια περιόδων που οι ομάδες ασφαλείας επικεντρώνονται στην επιδιόρθωση άλλων κρίσιμων ευπαθειών.
“Το LemonDuck συνεχίζει να χρησιμοποιεί παλαιότερα σφάλματα, τα οποία ωφελούν τους επιτιθέμενους σε περιόδους όπου η εστίαση μετατοπίζεται στην επιδιόρθωση μιας δημοφιλούς ευπάθειας“, σημείωσε η ομάδα Microsoft 365 Defender Threat Intelligence.
“Συγκεκριμένα, το LemonDuck απομακρύνει άλλους επιτιθέμενους από μια παραβιασμένη συσκευή, αφαιρώντας ανταγωνιστικά κακόβουλα προγράμματα και αποτρέποντας νέες μολύνσεις, αφού επιδιορθώνει τις ευπάθειες που χρησιμοποίησε για να αποκτήσει πρόσβαση“.
Οι ερευνητές ανάλυσης κακόβουλου λογισμικού της Cisco Talos έχουν επίσης ασχοληθεί με το LemonDuck cryptomining malware. Οι ερευνητές διαπίστωσαν ότι το LemonDuck χρησιμοποιεί αυτοματοποιημένα εργαλεία για σάρωση, ανίχνευση και εκμετάλλευση servers πριν από τη φόρτωση payloads (όπως το Cobalt Strike) και web shells, που επιτρέπουν την εγκατάσταση πρόσθετων modules.
Δείτε επίσης: Εντοπίστηκαν make-me-admin bugs σε Windows & Linux kernels
Σύμφωνα με τη Microsoft, το LemonDuck αρχικά έπληξε την Κίνα, αλλά τώρα έχει επεκταθεί στις ΗΠΑ, τη Ρωσία, τη Γερμανία, το Ηνωμένο Βασίλειο, την Ινδία, την Κορέα, τον Καναδά, τη Γαλλία και το Βιετνάμ. Κατά βάση στοχεύει κατασκευαστικές εταιρείες και τον IoT κλάδο.
Η hacking ομάδα είναι επιλεκτική με τους στόχους της και τις μεθόδους επίθεσης που χρησιμοποιεί. Πριν λίγο καιρό, δημιούργησε αυτοματοποιημένα tasks για να εκμεταλλευτεί το Eternal Blue SMB exploit από την NSA, που διέρρευσε από hackers που σχετίζονται με το Κρεμλίνο και χρησιμοποιήθηκε στην επίθεση WannaCry ransomware το 2017.
Δείτε επίσης: Kaseya REvil ransomware: Η εταιρεία απέκτησε το κλειδί αποκρυπτογράφησης
Οι ευπάθειες που χρησιμοποιεί το LemonDuck cryptomining malware για την αρχική πρόσβαση στα συστήματα, περιλαμβάνουν τις: CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) και CVE-2021-27065 (ProxyLogon).
“Μόλις βρεθεί σε ένα σύστημα με Outlook mailbox, το LemonDuck επιχειρεί να εκτελέσει ένα script που χρησιμοποιεί τα credentials που υπάρχουν στη συσκευή. Το script δίνει εντολή στο mailbox να στείλει αντίγραφα ενός phishing μηνύματος με συνημμένα σε όλες τις επαφές“, σημειώνει η Microsoft.
Πηγή: ZDNet