Microsoft недавно опубликовали свое исследование в 2-х частях. Уже достаточно известный вредонос продолжает активно совершенствоваться и использовать в качестве таргетов Windows и Linux-системы.
На сегодняшний день является активно разрабатываемым и регулярно обновляемым вредоносом. LemonDuck прежде всего известен своими майнинговыми целями. Спустя некоторые время он эволюционировал в своих действиях: кража паролей, использование множества известных уязвимостей, отключение средств защиты и другие возможности. В конечном итоге, способен использоваться как бэкдор и доставлять дополнительные инструменты, управляемые человеком.
Одной из главных особенностей LemonDuck является зачистка посторонней малвари/майнеров со скомпрометированного устройства, дабы избавиться от своих конкурентов. Также исправляет уязвимости, которые уже использовались для получения доступа к системе.
В своем исследовании Microsoft описывают компанию LemonCat, которая связана с LemonDuck. Эксперты считают, что LemonCat является таргетированной интерпретацией предшественника, имеет другии цели и используется для более опасных операций. Новая версия активна с января 2021 года. Отличительной чертой указано то, что она применялась в атаках на уязвимые серверы Microsoft Exchange, и эти инциденты приводили к установке бэкдора, хищению информации с последующей установкой трояна Ramnit.
Технические подробности
Изначально LemonDuck был обнаружен в Китае в мае 2019 года, но с тех пор его деятельность расширилась. На текущий момент он имеет широкую географию распространения: больше всего наблюдаются в США, России, Китае, Германии, Великобритании, Индии, Корее, Канаде, Франции и Вьетнаме.
В 2021 году LemonDuck начала использовать более диверсифицированную инфраструктуру и функционал классической полезной нагрузки (C2). Это обновление способствовало заметному увеличению количества действий после взлома, которые варьировались в зависимости от ценности скомпрометированных устройств для злоумышленников. Однако, несмотря на все эти обновления, LemonDuck по-прежнему использует C2, функций, структур сценариев и имен переменных гораздо дольше, чем у большинства вредоносов. Вероятно, это связано с использованием сверхнадежных хостинг-провайдеров, таких как Epik Holdings, которые вряд ли когда-нибудь отключат хотя бы часть инфраструктуры LemonDuck даже в случае получения сообщений о вредоносных действиях, что позволяет LemonDuck выживать и продолжать свою активность.
Первичное проникновение/пробив/попадание в инфраструктуру LemonDuck выполняет двумя основными способами:
При содействии существующих ботов, уже перемещающихся по организации.
Почтовый фишинг.
После проникновения малварь выполняет поиск устройств с такими уязвимостями, как CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) и CVE-2021-27065 (ProxyLogon). Также выполняется поиск слабой аутентификации, либо открытых SMB, Exchange, SQL, Hadoop, REDIS, RDP и т.д.
После попадания на хост с почтовым ящиком Outlook, в рамках своего обычного поведения, LemonDuck пытается запустить сценарий, использующий учетные данные, полученные на устройстве. Сценарий дает указание почтовому ящику отправлять копии фишингового сообщения с предустановленными сообщениями и вложениями всем контактам организации. Это позволяет обходить большинство политик безопасности электронной почты, скоращая количество проверок для отправки писем внутри организации.
«LemonDuck пытается автоматически отключить Microsoft Defender для мониторинга конечных точек и добавляет целые диски - в частности, диск C: \ - в список исключений Microsoft Defender», - группа аналитики угроз Microsoft 365 Defender, рассказывая о тактике вредоноса, которая была недавно раскрыта.
Также сообщается, что часть атак использует широкий спектр opensource-инструментов, включая настраиваемые инструменты для получения учетных данных, перемещения по сети, повышения привилегий и даже удаления следов всех других ботнетов, майнеров и ВПО конкурентов со скомпрометированных устройств.
