بلاگ
استمرار تکامل Lemon Duck
استمرار تکامل Lemon Duck

در گزارش مفصلی که مایکروسافت (Microsoft, Corp) آن را منتشر کرده این شرکت نسبت به تکامل بدافزار Lemon Duck و تجهیز آن به قابلیت‌های مخربی همچون توانایی سرقت اطلاعات اصالت‌سنجی و نصب Backdoor بر روی دستگاه‌های آسیب‌پذیر هشدار داده است.
به گزارش مرکز مدیریت راهبردی افتا، Lemon Duck یک بدافزار پیشرفته استخراج ارز رمز (Cryptocurrency Miner) است که سرورهای سازمان‌های ایرانی نیز در مواردی هدف حملات آن قرار گرفته‌اند.

 نسخه‌های ابتدایی LemonDuck که چند سال قبل ظهور کردند با تشکیل Botnet تنها اقدام به استخراج رمزارز مونرو (Monero) بر روی دستگاه‌های آلوده به خود می‌کردند. اما در یک سال گذشته دامنه قابلیت‌های مخرب این بدافزار به نحو چشم‌گیری افزایش‌یافته است.
نفوذ به سرورهای آسیب‌پذیر، سرقت اطلاعات اصالت‌سنجی کلیدی، غیرفعال‌کردن کنترل‌های امنیتی، انتشار و نصب Backdoor برای باز گذاشتن راه ورود ابزارهای مخرب دیگر از جمله این قابلیت‌هاست.
ایمیل‌های فیشینگ، حافظه‌های USB Flash، اجرای حملات بروت فورس (Brute-force)، سوءاستفاده از آسیب‌پذیری‌های امنیتی اصلی‌ترین روش‌های انتشار LemonDuck محسوب می‌شوند. در برخی موارد نیز پس از آلوده شدن نخستین دستگاه به LemonDuck، مهاجمان با به‌کارگیری ابزارهای مختلف، دامنه آلودگی را بر روی دستگاه‌های دیگر در سطح شبکه گسترش می‌دهند.
آنچه این بدافزار را نسبت به سایر گونه‌ها خطرناک‌تر می‌کند توانایی آن در آلوده‌سازی هر دو بستر Windows و Linux است.
LemonDuck در استفاده از ضعف‌های امنیتی قدیمی مهارت خاصی دارد؛ مهارتی که به مهاجمان آن کمک می‌کند تا ردی از خود به جا نگذارند. به‌تازگی نیز موارد زیر به فهرست آسیب‌پذیری‌های مورد بهره‌جویی LemonDuck افزوده شده است:

  •     CVE-۲۰۱۹-۰۷۰۸ (BlueKeep)
  •     CVE-۲۰۱۷-۰۱۴۴ (EternalBlue)
  •     CVE-۲۰۲۰-۰۷۹۶ (SMBGhost)
  •     CVE-۲۰۱۷-۸۴۶۴ (LNK RCE)
  •     CVE-۲۰۲۱-۲۷۰۶۵ (ProxyLogon)
  •     CVE-۲۰۲۱-۲۶۸۵۵ (ProxyLogon)
  •     CVE-۲۰۲۱-۲۶۸۵۷ (ProxyLogon)
  •     CVE-۲۰۲۱-۲۶۸۵۸ (ProxyLogon)

یکی دیگر از ویژگی‌های جالب این بدافزار، غیرفعال‌کردن همنوعان خود ازروی دستگاه قربانی با ترمیم همان باگ‌هایی است که LemonDuck با سوءاستفاده از آنها به دستگاه راه پیدا کرده است.
همچنین سوابق گردانندگان LemonDuck نشان می‌دهد این مهاجمان به نحوی مؤثر از موضوعات روز و آسیب‌پذیری‌های جدید در کارزارهای خود بهره می‌گیرند. برای مثال، در سال گذشته از ایمیل‌هایی با موضوعات مرتبط با کرونا برای فریب کاربران و متقاعدکردن آنها در کلیک بر روی لینک یا پیوست حامل LemonDuck استفاده شد. یا در نمونه‌ای دیگر این افراد از آسیب‌پذیری‌های روز – صفر در Microsoft Exchange Server برای آلوده‌سازی سرورها به LemonDuck بهره‌جویی کردند.
مشروح گزارش مایکروسافت در لینک زیر قابل دریافت و مطالعه است:

https://www.microsoft.com/security/blog/۲۰۲۱/۰۷/۲۲/when-coin-miners-evolve-part-۱-exposing-lemonduck-and-lemoncat-modern-mining-malware-infrastructure/

منبع:

https://www.computing.co.uk/news/۴۰۳۴۹۶۲/microsoft-warns-evolved-lemonduck-malware-targeting-windows-linux-machines

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.

دسته‌ها
نوشته‌های تازه
آخرین دیدگاه‌ها