Возросла активность ботнета Lemon Duck
14 октября 2020 года
Исследователи безопасности из компании Cisco Talos предупредили о резком росте активности ботнета Lemon Duck для майнинга криптовалюты Monero.
«Мы выявили активность в телеметрии конечных точек, связанную с вредоносным ПО для майнинга криптовалюты Lemon Duck, которая затрагивает три разные компании в государственном, розничном и технологическом секторах. Мы наблюдали активность злоумышленников в период с конца марта 2020 года по настоящее время», — сообщили эксперты.
Lemon Duck имеет как минимум 12 независимых векторов заражения, что намного больше, чем у большинства вредоносных программ. Возможности варьируются от брутфорса паролей протоколов Server Message Block (SMB) и Remote Desktop Protocol (RDP) и отправки электронных писем с эксплоитами до эксплуатации уязвимости BlueKeep (CVE-2019-0708) в RDP на компьютерах под управлением Windows, уязвимостей в Redis и YARN Hadoop на системах под управлением Linux.
После заражения системы загружается PowerShell-скрипт, использующий функцию «bpu» для отключения обнаружения Защитником Windows в реальном времени и включения powershell.exe в список процессов, исключенных из сканирования. «Bpu» также проверяет, запущен ли скрипт с правами администратора. Если да, то полезная нагрузка загружается и запускается с помощью командлета Invoke-Ex * pression (функция вызова кода в скрипте или построения команд для дальнейшего выполнения). Если нет, он использует существующие системные исполняемые файлы для запуска следующего этапа. Исполняемые модули загружаются и управляются основным модулем, а связываются с сервером C&C-сервером через HTTP.
«Почти все модули PowerShell замаскированы четырьмя или пятью уровнями обфускации, вероятно, созданными модулем Invoke-Obfuscation. Хотя их относительно легко удалить, они все же замедляют процесс анализа и затрудняют обнаружение с помощью обычных сигнатур», — отметили эксперты.
Модули включают в себя основной загрузчик, проверяющий уровень прав пользователя и компоненты, необходимые для майнинга, такие как тип доступной графической карты (включая GTX, Nvidia, GeForce, AMD и Radeon). Если эти графические процессоры не обнаружены, загрузчик загружает и запускает стандартный сценарий майнинга XMRig на базе процессора.
Другие компоненты включают основной модуль распространения (с фрагментом кода, содержащим более 10 тыс. строк кода), модуль на базе Python (упакованный с использованием Pyinstaller) и модуль-убийца, предназначенный для отключения известных конкурирующих ботнетов для майнинга.
Lemon Duck также включает в себя модуль рассылки электронной почты. Они распространяют электронные письма с использованием сочетания строк темы и текста, связанных с COVID-19, а также других эмоциональных приманок. Электронные письма содержат вредоносные вложения, отправленные с помощью автоматизации Outlook каждому контакту в адресной книге зараженного пользователя.
Исследователи также пролили свет на ветвь вредоносной программы Lemon Duck для Linux. Bash-скрипты Lemon Duck выполняются после того, как злоумышленник успешно скомпрометирует устройство Linux с помощью уязвимостей в Redis, YARN или SSH. Существует два основных bash-сценария: первый собирает данные о зараженном хосте и пытается загрузить Linux-версию майнера XMRig, прежде чем пытаться удалить различные системные журналы. Второй пытается завершить работу и удалить конкурирующие майнеры криптовалюты, присутствующие на системе.
Как отметили специалисты, скрипт также пытается завершить и удалить процессы, связанные с облачными агентами безопасности Alibaba и Tencent.
Источники править
Эта статья содержит материалы из статьи «Возросла активность ботнета Lemon Duck», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.