Печально известное кроссплатформенное вредоносное ПО для майнинга крипто-валют продолжает совершенствовать и улучшать свои методы поражения операционных систем Windows и Linux, нацеливаясь на старые уязвимости и одновременно используя различные механизмы распространения для достижения максимальной эффективности своих кампаний.
«LemonDuck - активно развивающееся вредоносное ПО, известное в первую очередь своими целями создания ботнетов и добычи крипто-валюты - пошло по той же траектории, приняв более сложное поведение и расширив свои операции» - говорится в техническом обзоре, опубликованном Microsoft на прошлой неделе. «Сегодня, помимо использования ресурсов для своей традиционной деятельности, LemonDuck крадет учетные данные, удаляет средства контроля безопасности, распространяется по электронной почте, активно распространяется по пораженной сети и, в конечном итоге, доставляет больше инструментов для осуществления дальнейшей вредоносной деятельности человеком».
Вредонос известен своей способностью быстро распространяться по зараженной сети для облегчения кражи информации и превращения машин в ботов для перенаправления их вычислительных ресурсов на незаконную добычу крипто-валюты. Примечательно, что LemonDuck выступает в качестве загрузчика для последующих атак, включающих кражу учетных данных и установку закладок следующего этапа, которые могут служить шлюзом для различных вредоносных угроз, включая шифровальщиков.
Деятельность LemonDuck была впервые замечена в Китае в мае 2019 года, после чего начала использовать фишинг на тему COVID-19 в атаках по электронной почте в 2020 году и недавно устраненные дефекты «ProxyLogon» Exchange Server для получения доступа к непропатченным системам. Еще одной тактикой, заслуживающей внимания, является его способность удалять «другие вредоносы со взломанного устройства, избавляясь от конкурирующего ПО и предотвращая любые новые заражения путем исправления тех уязвимостей, которые он сам использовал для получения доступа».
Атаки с использованием LemonDuck были направлены в основном на промышленный сектор и сектор IoT, при этом больше всего атак было зафиксировано в США, России, Китае, Германии, Великобритании, Индии, Корее, Канаде, Франции и Вьетнаме.
Кроме того, Microsoft раскрыла деятельность второй организации, использующей LemonDuck для достижения «отдельных целей», которую аналитики назвали «LemonCat». Считается, что инфраструктура атак, связанная с вариантом «Cat», появилась в январе 2021 года и была использована в атаках на Microsoft Exchange Server. Последующие вторжения с использованием доменов Cat приводили к установке бэкдоров, краже учетных данных, а также доставке вредоносного ПО - часто трояна Windows под названием Ramnit.
«Тот факт, что инфраструктура Cat используется для более опасных кампаний, не снижает опасности заражений вредоносным ПО из инфраструктуры Duck» - заявили в Microsoft. «Напротив, эти данные добавляют важный контекст для понимания этой угрозы: один и тот же набор инструментов, доступа и методов может быть повторно использован для достижения большего эффекта».
Источник: https://thehackernews.com
