вредонос LemonDuck
вредонос LemonDuck

Microsoft недавно опубликовали свое исследование в 2-х частях. Уже достаточно известный вредонос продолжает активно совершенствоваться и использовать в качестве таргетов Windows и Linux-системы.

На сегодняшний день является активно разрабатываемым и регулярно обновляемым вредоносом. LemonDuck прежде всего известен своими майнинговыми целями. Спустя некоторые время он эволюционировал в своих действиях: кража паролей, использование множества известных уязвимостей, отключение средств защиты и другие возможности. В конечном итоге, способен использоваться как бэкдор и доставлять дополнительные инструменты, управляемые человеком.

Одной из главных особенностей LemonDuck является зачистка посторонней малвари/майнеров со скомпрометированного устройства, дабы избавиться от своих конкурентов. Также исправляет уязвимости, которые уже использовались для получения доступа к системе.

В своем исследовании Microsoft описывают компанию LemonCat, которая связана с LemonDuck. Эксперты считают, что LemonCat является таргетированной интерпретацией предшественника, имеет другии цели и используется для более опасных операций. Новая версия активна с января 2021 года. Отличительной чертой указано то, что она применялась в атаках на уязвимые серверы Microsoft Exchange, и эти инциденты приводили к установке бэкдора, хищению информации с последующей установкой трояна Ramnit.

Технические подробности

Изначально LemonDuck был обнаружен в Китае в мае 2019 года, но с тех пор его деятельность расширилась. На текущий момент он имеет широкую географию распространения: больше всего наблюдаются в США, России, Китае, Германии, Великобритании, Индии, Корее, Канаде, Франции и Вьетнаме.

В 2021 году LemonDuck начала использовать более диверсифицированную инфраструктуру и функционал классической полезной нагрузки (C2). Это обновление способствовало заметному увеличению количества действий после взлома, которые варьировались в зависимости от ценности скомпрометированных устройств для злоумышленников. Однако, несмотря на все эти обновления, LemonDuck по-прежнему использует C2, функций, структур сценариев и имен переменных гораздо дольше, чем у большинства вредоносов. Вероятно, это связано с использованием сверхнадежных хостинг-провайдеров, таких как Epik Holdings, которые вряд ли когда-нибудь отключат хотя бы часть инфраструктуры LemonDuck даже в случае получения сообщений о вредоносных действиях, что позволяет LemonDuck выживать и продолжать свою активность.

инфраструктура LemonDuck
инфраструктура LemonDuck

Первичное проникновение/пробив/попадание в инфраструктуру LemonDuck выполняет двумя основными способами:

  1. При содействии существующих ботов, уже перемещающихся по организации.

  2. Почтовый фишинг.

После проникновения малварь выполняет поиск устройств с такими уязвимостями, как CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) и CVE-2021-27065 (ProxyLogon). Также выполняется поиск слабой аутентификации, либо открытых SMB, Exchange, SQL, Hadoop, REDIS, RDP и т.д.

После попадания на хост с почтовым ящиком Outlook, в рамках своего обычного поведения, LemonDuck пытается запустить сценарий, использующий учетные данные, полученные на устройстве. Сценарий дает указание почтовому ящику отправлять копии фишингового сообщения с предустановленными сообщениями и вложениями всем контактам организации. Это позволяет обходить большинство политик безопасности электронной почты, скоращая количество проверок для отправки писем внутри организации.

«LemonDuck пытается автоматически отключить Microsoft Defender для мониторинга конечных точек и добавляет целые диски - в частности, диск C: \ - в список исключений Microsoft Defender», - группа аналитики угроз Microsoft 365 Defender, рассказывая о тактике вредоноса, которая была недавно раскрыта.

Также сообщается, что часть атак использует широкий спектр opensource-инструментов, включая настраиваемые инструменты для получения учетных данных, перемещения по сети, повышения привилегий и даже удаления следов всех других ботнетов, майнеров и ВПО конкурентов со скомпрометированных устройств.

Комментарии (1)


  1. v1000
    30.07.2021 22:32
    +5

    Одной из главных особенностей LemonDuck является зачистка посторонней малвари/майнеров со скомпрометированного устройства, избавляясь от своих конкурентов. Так же, исправляет уязвимости, которые уже использовались для получения доступа к системе.

    Осталось выпустить LemonDuck Lite, которая делает все это без майнинга, и будет полезная тулза.