سرورهای آسیب‌پذیر Exchange، اکنون هدف Lemon_Duck

گردانندگان Lemon_Duck با سوءاستفاده از آسیب‌پذیری‌های ProxyLogon، پس از هک سرورهای آسیب‌پذیر Exchange اقدام به گسترش شبکه مخرب خود و استخراج ارز رمز با استفاده از منابع دستگاه‌های آلوده شده می‌کنند.
در جریان این حملات ابزارهایی که وظیفه آن استخراج ارز رمز مونرو است بر روی دستگاه‌های هک شده اجرا می‌شود.
دامنه این حملات بسیار گسترده گزارش شده است.
در ارز رمزها (Cryptocurrency)، فرایندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلی‌ترین وظایف آن تأیید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرایند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه ارز رمز نیز در قبال تلاشی که برای این پردازش‌ها انجام می‌شود به استخراج‌کنندگان پاداشی اختصاص می‌دهد. از همین رو، برخی افراد نیز با بکارگیری برنامه‌های استخراج‌کننده (Miner) تلاش می‌کنند تا در ازای استخراج ارز رمز، مشمول پاداش شبکه ارز رمز شوند. اما با توجه به نیاز به توان پردازش بالا، انجام استخراج می‌تواند یک سرمایه‌گذاری هزینه‌بر برای استخراج‌کننده باشد. به همین خاطر در حملات موسوم به رمز ربایی (Cryptojacking)، استخراج‌کننده بدخواه با آلوده کردن دستگاه‌ دیگران به بدافزارهای ویژه استخراج، از توان پردازشی آنها به نفع خود بهره‌گیری می‌کند. در حقیقت در رمز ربایی، این مهاجمان هستند که همه منافع حاصل از استخراج را بدون هر گونه سرمایه‌گذاری کسب می‌کنند؛ در حالی که دستگاه قربانی انجام‌دهنده امور اصلی بوده‌ است.
در حملات اخیر Lemon_Duck مهاجمان با استفاده از وب‌شل‌هایی که بر روی سرورهای آلوده MS Exchange توزیع شده اقدام به دریافت کد مخرب از نشانی‌های p.estonine[.]com و cdn.chatcdn[.]net می‌کنند.
در حملات قبلی Lemon_Duck، مهاجمان با بکارگیری Exploit-kit (بسته‌ بهره‌جوی) EternalBlue یا اجرای حملات موسوم به Brute-force ماشین‌های Linux و سرورهای MS SQL را هدف قرار می‌دادند.
Lemon_Duck آلوده‌سازی سرورهای Redis و کلاسترهای Hadoop مبتنی بر YARN را نیز در کارنامه دارد.
در مواردی هم گردانندگان Lemon_Duck در کارزارهای هرزنامه‌ای، با بهره‌گیری از موضوعات مرتبط با کووید-۱۹ و با سوءاستفاده از آسیب‌پذیری CVE-۲۰۱۷-۸۵۷۰ دستگاه کاربران ناآگاه را آلوده به بدافزارهای خود می‌کردند. CVE-۲۰۱۷-۸۵۷۰ ضعفی از نوع RCE است که مجموعه نرم‌افزاری Microsoft Office از آن متأثر می‌شود.
Lemon_Duck یکی از پیشرفته‌ترین شبکه‌های مخرب رمز ربایی (Cryptojacking Botnet) شناخته می‌شود.
ProxyLogon که بتازگی به استخدام Lemon_Duck در آمده مجموعه آسیب‌پذیری‌هایی در سرویس‌دهنده ایمیل MS Exchange است که مایکروسافت (Microsoft, Corp) در ۱۲ اسفند اصلاحیه‌هایی اضطراری برای ترمیم آنها منتشر کرد. پیش از در دسترس قرار گرفتن اصلاحیه‌های مذکور حداقل یک گروه از مهاجمان در حملات خود از ProxyLogon سوءاستفاده کرده بودند. از زمان انتشار اصلاحیه‌ها و افشای جزییات آن، هکرهای مستقل و گردانندگان APT متعددی، ProxyLogon را به فهرست تکنیک‌های نفوذ خود اضافه کرده‌اند. برای مثال همان‌طور که در گزارش زیر به آن پرداخته شد مهاجمان با هک سرورهای آسیب‌پذیر MS Exchange در حال نفوذ به آنها و در ادامه توزیع باج‌افزار جدیدی با نام DearCry هستند.

https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۰۶۷/

لذا توجه به نکات اشاره شده در اطلاعیه‌های زیر به‌منظور ایمن ساختن سرورهای MS Exchange به تمامی سازمان‌ها توصیه می‌شود:

https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۲۹۷۱/
https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۷/۲۴۲۹۷۹/
https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۰۲۲/

مطالعه مقالات، توصیه‌نامه‌ها و اطلاعیه‌های زیر نیز به تمامی راهبران و کارشناسان امنیت پیشنهاد می‌شود:

Protecting on-premises Exchange Servers against recent attacks:
https://www.microsoft.com/security/blog/۲۰۲۱/۰۳/۱۲/protecting-on-premises-exchange-servers-against-recent-attacks/

McAfee coverage for March, ۲۰۲۱ Microsoft Exchange Zero-Day Exploits and Associated Known Campaigns:
https://kc.mcafee.com/corporate/index?page=content&id=KB۹۴۲۷۰

Exchange servers under siege from at least ۱۰ APT groups:
https://www.welivesecurity.com/۲۰۲۱/۰۳/۱۰/exchange-servers-under-siege-۱۰-apt-groups/

Microsoft Exchange Server Attack Timeline:
https://unit۴۲.paloaltonetworks.com/microsoft-exchange-server-attack-timeline/

HAFNIUM: Advice about the new nation-state attack
https://news.sophos.com/en-us/۲۰۲۱/۰۳/۰۵/hafnium-advice-about-the-new-nation-state-attack/

Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities
https://www.volexity.com/blog/۲۰۲۱/۰۳/۰۲/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

( با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.