گردانندگان Lemon_Duck با سوءاستفاده از آسیبپذیریهای ProxyLogon، پس از هک سرورهای آسیبپذیر Exchange اقدام به گسترش شبکه مخرب خود و استخراج ارز رمز با استفاده از منابع دستگاههای آلوده شده میکنند.
در جریان این حملات ابزارهایی که وظیفه آن استخراج ارز رمز مونرو است بر روی دستگاههای هک شده اجرا میشود.
دامنه این حملات بسیار گسترده گزارش شده است.
در ارز رمزها (Cryptocurrency)، فرایندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلیترین وظایف آن تأیید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرایند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه ارز رمز نیز در قبال تلاشی که برای این پردازشها انجام میشود به استخراجکنندگان پاداشی اختصاص میدهد. از همین رو، برخی افراد نیز با بکارگیری برنامههای استخراجکننده (Miner) تلاش میکنند تا در ازای استخراج ارز رمز، مشمول پاداش شبکه ارز رمز شوند. اما با توجه به نیاز به توان پردازش بالا، انجام استخراج میتواند یک سرمایهگذاری هزینهبر برای استخراجکننده باشد. به همین خاطر در حملات موسوم به رمز ربایی (Cryptojacking)، استخراجکننده بدخواه با آلوده کردن دستگاه دیگران به بدافزارهای ویژه استخراج، از توان پردازشی آنها به نفع خود بهرهگیری میکند. در حقیقت در رمز ربایی، این مهاجمان هستند که همه منافع حاصل از استخراج را بدون هر گونه سرمایهگذاری کسب میکنند؛ در حالی که دستگاه قربانی انجامدهنده امور اصلی بوده است.
در حملات اخیر Lemon_Duck مهاجمان با استفاده از وبشلهایی که بر روی سرورهای آلوده MS Exchange توزیع شده اقدام به دریافت کد مخرب از نشانیهای p.estonine[.]com و cdn.chatcdn[.]net میکنند.
در حملات قبلی Lemon_Duck، مهاجمان با بکارگیری Exploit-kit (بسته بهرهجوی) EternalBlue یا اجرای حملات موسوم به Brute-force ماشینهای Linux و سرورهای MS SQL را هدف قرار میدادند.
Lemon_Duck آلودهسازی سرورهای Redis و کلاسترهای Hadoop مبتنی بر YARN را نیز در کارنامه دارد.
در مواردی هم گردانندگان Lemon_Duck در کارزارهای هرزنامهای، با بهرهگیری از موضوعات مرتبط با کووید-۱۹ و با سوءاستفاده از آسیبپذیری CVE-۲۰۱۷-۸۵۷۰ دستگاه کاربران ناآگاه را آلوده به بدافزارهای خود میکردند. CVE-۲۰۱۷-۸۵۷۰ ضعفی از نوع RCE است که مجموعه نرمافزاری Microsoft Office از آن متأثر میشود.
Lemon_Duck یکی از پیشرفتهترین شبکههای مخرب رمز ربایی (Cryptojacking Botnet) شناخته میشود.
ProxyLogon که بتازگی به استخدام Lemon_Duck در آمده مجموعه آسیبپذیریهایی در سرویسدهنده ایمیل MS Exchange است که مایکروسافت (Microsoft, Corp) در ۱۲ اسفند اصلاحیههایی اضطراری برای ترمیم آنها منتشر کرد. پیش از در دسترس قرار گرفتن اصلاحیههای مذکور حداقل یک گروه از مهاجمان در حملات خود از ProxyLogon سوءاستفاده کرده بودند. از زمان انتشار اصلاحیهها و افشای جزییات آن، هکرهای مستقل و گردانندگان APT متعددی، ProxyLogon را به فهرست تکنیکهای نفوذ خود اضافه کردهاند. برای مثال همانطور که در گزارش زیر به آن پرداخته شد مهاجمان با هک سرورهای آسیبپذیر MS Exchange در حال نفوذ به آنها و در ادامه توزیع باجافزار جدیدی با نام DearCry هستند.
https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۰۶۷/
لذا توجه به نکات اشاره شده در اطلاعیههای زیر بهمنظور ایمن ساختن سرورهای MS Exchange به تمامی سازمانها توصیه میشود:
https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۲۹۷۱/
https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۷/۲۴۲۹۷۹/
https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۰۲۲/
مطالعه مقالات، توصیهنامهها و اطلاعیههای زیر نیز به تمامی راهبران و کارشناسان امنیت پیشنهاد میشود:
Protecting on-premises Exchange Servers against recent attacks:
https://www.microsoft.com/security/blog/۲۰۲۱/۰۳/۱۲/protecting-on-premises-exchange-servers-against-recent-attacks/
McAfee coverage for March, ۲۰۲۱ Microsoft Exchange Zero-Day Exploits and Associated Known Campaigns:
https://kc.mcafee.com/corporate/index?page=content&id=KB۹۴۲۷۰
Exchange servers under siege from at least ۱۰ APT groups:
https://www.welivesecurity.com/۲۰۲۱/۰۳/۱۰/exchange-servers-under-siege-۱۰-apt-groups/
Microsoft Exchange Server Attack Timeline:
https://unit۴۲.paloaltonetworks.com/microsoft-exchange-server-attack-timeline/
HAFNIUM: Advice about the new nation-state attack
https://news.sophos.com/en-us/۲۰۲۱/۰۳/۰۵/hafnium-advice-about-the-new-nation-state-attack/
Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities
https://www.volexity.com/blog/۲۰۲۱/۰۳/۰۲/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
( با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)
دیدگاه شما