Возросла активность ботнета Lemon Duck

[Artifact]

Lemon Duck имеет как минимум 12 независимых векторов заражения и обладает различными функциями.

Исследователи безопасности из компании Cisco Talos https://blog.talosintelligence.com/2...cy-miners.html о резком росте активности ботнета Lemon Duck для майнинга криптовалюты Monero.
«Мы выявили активность в телеметрии конечных точек, связанную с вредоносным ПО для майнинга криптовалюты Lemon Duck, которая затрагивает три разные компании в государственном, розничном и технологическом секторах. Мы наблюдали активность злоумышленников в период с конца марта 2020 года по настоящее время», — сообщили эксперты.
Lemon Duck имеет как минимум 12 независимых векторов заражения, что намного больше, чем у большинства вредоносных программ. Возможности варьируются от брутфорса паролей протоколов Server Message Block (SMB) и Remote Desktop Protocol (RDP) и отправки электронных писем с эксплоитами до эксплуатации уязвимости BlueKeep (CVE-2019-0708) в RDP на компьютерах под управлением Windows, уязвимостей в Redis и YARN Hadoop на системах под управлением Linux.
После заражения системы загружается PowerShell-скрипт, использующий функцию «bpu» для отключения обнаружения Защитником Windows в реальном времени и включения powershell.exe в список процессов, исключенных из сканирования. «Bpu» также проверяет, запущен ли скрипт с правами администратора. Если да, то полезная нагрузка загружается и запускается с помощью командлета Invoke-Ex * pression (функция вызова кода в скрипте или построения команд для дальнейшего выполнения). Если нет, он использует существующие системные исполняемые файлы для запуска следующего этапа. Исполняемые модули загружаются и управляются основным модулем, а связываются с сервером C&C-сервером через HTTP.
«Почти все модули PowerShell замаскированы четырьмя или пятью уровнями обфускации, вероятно, созданными модулем Invoke-Obfuscation. Хотя их относительно легко удалить, они все же замедляют процесс анализа и затрудняют обнаружение с помощью обычных сигнатур», — отметили эксперты.
Модули включают в себя основной загрузчик, проверяющий уровень прав пользователя и компоненты, необходимые для майнинга, такие как тип доступной графической карты (включая GTX, Nvidia, GeForce, AMD и Radeon). Если эти графические процессоры не обнаружены, загрузчик загружает и запускает стандартный сценарий майнинга XMRig на базе процессора.
Другие компоненты включают основной модуль распространения (с фрагментом кода, содержащим более 10 тыс. строк кода), модуль на базе Python (упакованный с использованием Pyinstaller) и модуль-убийца, предназначенный для отключения известных конкурирующих ботнетов для майнинга.
Lemon Duck также включает в себя модуль рассылки электронной почты. Они распространяют электронные письма с использованием сочетания строк темы и текста, связанных с COVID-19, а также других эмоциональных приманок. Электронные письма содержат вредоносные вложения, отправленные с помощью автоматизации Outlook каждому контакту в адресной книге зараженного пользователя.
Исследователи также пролили свет на ветвь вредоносной программы Lemon Duck для Linux. Bash-скрипты Lemon Duck выполняются после того, как злоумышленник успешно скомпрометирует устройство Linux с помощью уязвимостей в Redis, YARN или SSH. Существует два основных bash-сценария: первый собирает данные о зараженном хосте и пытается загрузить Linux-версию майнера XMRig, прежде чем пытаться удалить различные системные журналы. Второй пытается завершить работу и удалить конкурирующие майнеры криптовалюты, присутствующие на системе.
Как отметили специалисты, скрипт также пытается завершить и удалить процессы, связанные с облачными агентами безопасности Alibaba и Tencent.