Lemon Duck:「十二種武藝」於一身的掘礦殭屍網絡

虛擬貨幣價值急升,不但令電腦硬嚴重缺貨,也令網絡犯罪份子更加活躍,專門透過殭屍網絡挖礦的Lemon Duck近日被發現加入了新的攻擊手段,專門針對Microsoft Exchange伺服器,令這殭屍網絡的感染方式數量增加至12種之多。

最複雜的掘礦殭屍網絡之一

根據研究人員的最新發現,Lemon Duck背後的組織近日把Cobalt Strike攻擊框架收錄在惡意程式工具包內,增加其防偵測的能力,此外,更透過東亞地區的TLD隱藏真實的C&C伺服器。

Lemon Duck瞄準受害者電腦的資源去挖掘Monero虛擬貨幣,具備自我傳播能力,以及模組框架令它能感染其他系統並成為殭屍網絡的一部份。首次發現在2018年12月,是最複雜的掘礦殭屍網絡之一。

十二種不同感染手段

Lemon Duck的獨特之處,在於它具備12種不同的感染方法,比大部份惡意程式都要多,而Proxylogon漏洞只是最新的一種,其他的方法還包括Server Message Block (SMB)、Remote Desktop Protocol (RDP) brute-force密碼、對Windows裝置的RDP BlueKeep安全漏洞 (CVE-2019-0708)、瞄準IoT裝置的預設密碼或弱密碼組合、Redis的安全漏洞和Linux上YARN Hadoop安全漏洞等等。

自2021年4月開始研究人員觀察到更多與Lemon Duck有關連的設施和新元件,專門針對沒有安全更新補丁的Microsoft Exhange伺服器和賞試下載Cobalt Strike DNS beacon的惡意內容。而自從去年8月要求連結到Lemon Duck的C&C伺服器和掘礦伺服器的數量增加,攻擊主要針對埃及、印度、伊朗、菲律賓和越南,但在4月的一波攻擊則轉移目標,以北美、歐洲、東南亞、非洲以及南美地區。

以Exchange Server挖掘Monero虛擬貨幣

ProxyLogon含有4個安全漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065),可以申連起來形成預先認證遠端執行代碼漏洞,這意味著攻擊者可以無需知道任何帳號憑證就能取得伺服器控制權,存取電郵通訊和進行其他惡意行為,例如安裝加密勒索程式。過往這種政擊手法通常被APT組織之用,現在連求財的組織也開始使用這類方法。

在Lemon Duck的個案,一旦入侵Exchange Server它便會利用Windows Control Manager執行不同的指令,包括複製兩個名為.ASPX檔案(wanlins.aspx和wanlin.aspx)。其他有趣的手法包括執行PowerShell腳本下載和執行額外惡意內容,「sysptem.dat」含有「killer」模組包含「硬編碼」的競爭掘礦對手名單,該模組每50分鐘運行一次。

加入Cobalt Strike

Cobalt Strike其是一款商用的滲透測試工具,用來偵測網絡漏洞,專門模擬攻擊。網絡犯罪份子找到把它用作盜取數據、傳送惡意程式和製作假C&C伺服器檔案,令它看起來合法而逃避偵測。Lemon Duck的Cobalt Strike被設定為Windows DNS beacon,使用DNS的基礎的頻道與C&C伺服器聯絡。

新的防偵測技倆

Lemon Duck使用了大量.cn、.jp和.kr作為它的C&C伺服器,能更有效地隱藏在受害環境的網絡流量,因為使用這種網站種類十分普遍,在相關的國家內就更加難以發現。在感染過程的PowerShell用到「GetHostAddresses」方法,以取得由攻擊者控制的網域現時的IP地址,即使其後伺服器部署DNS的安全管理,解釋的工作仍能繼續,從而達到長時間潛伏在受害環境之內。

Lemon Duck並非第一款掘礦惡意程式使用ProxyLogon去作惡,在四月有其他組織做了相同的事情,而且也屬於高度複雜和精密的惡意程式。研究人員認為這種手法將會繼續進化,而Lemon Duck的意圖就更加明顯,以達到最高的成功率為目標,並持續在世界各地展開攻勢,透過受感染的系統掘礦產生利潤,面對這種不斷進化的攻擊,企業也需要時刻提高警覺和進化。

資料來源:Threat Post