Microsoft продолжила анализ вредоносного ПО LemonDuck, известного установкой криптомайнеров в корпоративных средах. Это веский аргумент в пользу того, почему стоит удалить его из вашей сети.
У этой группы, по данным Microsoft, есть хорошо укомплектованный арсенал хакерских инструментов, уловок и эксплойтов, направленных на одно: чтобы их вредоносные программы сохраняли эксклюзивный доступ к скомпрометированной сети как можно дольше.
В то время как вредоносное ПО для майнинга криптовалют может быть просто неприятностью, атрибуты LemonDuck позволяют предположить, что группа злоумышленников действительно пытается владеть скомпрометированными сетями, отключая антивирус, удаляя конкурирующие вредоносные программы и даже автоматически исправляя уязвимости — конкурентные усилия чтобы злоумышленники не подпитывали его территорию.
"Это позволяет им ограничить видимость атаки для [security operations center] аналитиков в организации, которые могут отдавать приоритет непропатченным устройствам для расследования или которые не будут обращать внимания на устройства, которые не содержат большого количества вредоносных программ, "Microsoft объяснила в последующем анализе LemonDuck к одному из ранее опубликованных.
Так называемые уязвимости ProxyLogon Microsoft Exchange Server с марта по апрель были подвергнуты атаке LemonDuck таким образом. Они использовали ошибки для установки веб-шеллов на серверы Exchange для удаленного доступа к незащищенным системам и для установки дополнительных вредоносных программ LemonDuck. По словам Microsoft, в некоторых случаях злоумышленники LemonDuck использовали переименованные копии локального средства устранения рисков Microsoft Exchange (выпущенного Microsoft 15 марта), чтобы исправить ошибку, которую они использовали для получения доступа.
«Они сделали это, сохранив полный доступ к взломанным устройствам и ограничив других участников от злоупотребления теми же уязвимостями Exchange», — добавляет он.
Они также используют безфайловые вредоносные программы, которые выполняют в памяти и внедряют процессы, что затрудняет их удаление из среды.
Описание Microsoft методов и инструментов LemonDuck предполагает, что группа приложила много усилий для того, чтобы затруднить запуск сети, используя несколько методов для закрепления, в том числе эксплойты, атаки подбора пароля и эксплойты против SSH, MSSQL , SMB, Exchange, RDP, REDIS и Hadoop YARN для систем Linux и Windows.
Автоматический ввод LemonDuck использует небольшой файл с JavaScript для запуска процесса CMD PowerShell, который запускает Блокнот и сценарий PowerShell внутри JavaScript.
Ручной ввод включает атаки методом перебора пароля RDP или ошибки Exchange. Акторы-люди генерируют запланированные задачи и сценарии для создания безфайловой устойчивости путем повторного запуска сценария загрузки PowerShell, чтобы задействовать инфраструктуру управления и контроля (C2). Все дело в повторном включении любых вредоносных компонентов, которые были отключены или удалены. Помните, что веб-оболочки остаются в системе даже после исправления.
Чтобы сделать постоянство более отказоустойчивым, они размещают сценарии на нескольких сайтах (что затрудняет их удаление), а в качестве резервной копии также используют потребителей событий WMI или арсенал инструментов, который включает доступ RDP, Exchange веб-оболочки, Screen Connect и инструменты удаленного доступа (RAT).
LemonDuck пытается автоматически отключить облачный Microsoft Defender для мониторинга конечных точек в реальном времени, добавляя весь диск C: в список исключений Microsoft Defender. «Защита от несанкционированного доступа» Windows 10 должна предотвратить эти действия.
Действиями LemonDuck по удалению вредоносных программ подвергаются другие поставщики, в том числе ESET, Kaspersky, Avast, Norton Security и MalwareBytes.
Попав в сеть, один из инструментов LemonDuck пытается определить, работает ли Outlook на взломанном устройстве. Если это так, он сканирует почтовый ящик на наличие контактов и начинает распространять вредоносное ПО в сообщениях электронной почты с прикрепленными файлами .zip, .js или .doc / .rtf.
«Злоумышленники также вручную повторно входили в среду, особенно в тех случаях, когда краевые уязвимости использовались в качестве исходного вектора входа», — поясняет Microsoft.
«Злоумышленники также исправляют уязвимость, которую они использовали для входа в сеть, чтобы предотвратить проникновение других злоумышленников. Как уже упоминалось, злоумышленники были замечены с использованием копии предоставленного Microsoft инструмента устранения уязвимости Exchange ProxyLogon, которая они размещены в своей инфраструктуре, чтобы другие злоумышленники не получили доступ к веб-оболочке, как это было у них ".
Другими словами, LemonDuck может развертывать только криптомайнеры, которые истощают ресурсы ЦП, но то, на что они тратятся, чтобы оставаться в сети, ставит их в ином свете, чем просто неудобства. Возможно, командам безопасности стоит потратить время на то, чтобы ознакомиться с советами Microsoft в конце анализа для поиска угроз и инструментов LemonDuck в сети, потому что, как только LemonDuck оказывается на борту, он действительно не хочет уходить.
