`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

LemonDuck защищает захваченные Windows/Linux системы от (других) кибератак

+11
голос

Вредоносная программа LemonDuck, созданная весьма мотивированными и не стеснёнными в средствах киберпреступниками, внедряет всего лишь криптомайнеры, крадущие вычислительные ресурсы процессора, однако Microsoft своим анализом побуждает отнестись к ней серьёзнее, чем к относительно безобидной шалости.

Согласно Microsoft, богатый арсенал хакерских инструментов, уловок и эксплойтов этой группы нацелен на одно: сохранять эксклюзивный доступ к скомпрометированной сети как можно дольше.

Злоумышленники пытаются стать фактическими владельцами скомпрометированных сетей, отключая антивирусную защиту (Microsoft Defender for Endpoint, ESET, Kaspersky, Avast, Norton Security и MalwareBytes), удаляя конкурирующие вредоносные программы и даже автоматически исправляя уязвимости, чтобы блокировать атаки конкурентов и, заодно, ограничить свою видимость для отделов безопасности предприятий, чьё внимание могут в первую очередь привлекать непропатченные устройства.

Так, в марте-апреле группа использовала критические эксплойты ProxyLogon для установки веб-оболочек на серверы Exchange, после чего применила переименованные копии инструмента Microsoft Exchange On-Premises Mitigation Tool, чтобы исправить эти ошибки (сохранив при этом полный доступ к взломанным устройствам).

Обнаружив в скомпрометированной системе работающую программу Outlook, LemonDuck сканирует её почтовый ящик и начинает рассылать найденным контактам вредоносное ПО в электронных письмах с прикрепленными файлами .zip, .js или .doc/.rtf.

LemonDuck использует множество методов, чтобы закрепиться во взломанных машинах, включая эксплойты, атаки подбором паролей и эксплойты SSH, MSSQL, SMB, Exchange, RDP, REDIS и Hadoop YARN для систем Linux и Windows.

Злоумышленники вручную генерируют запланированные задачи и сценарии для создания безфайловой устойчивости: перезапуск сценария загрузки PowerShell задействует инфраструктуру управления и контроля (C2), возобновляя все вредоносные компоненты, которые были отключены или удалены. Веб-оболочки остаются в системе даже после установки исправлений.

Чтобы сделать своё присутствие более устойчивым, хакеры размещают копии скриптов на нескольких сайтах (это затрудняет их удаление) и в бэкапах.

Вы можете подписаться на нашу страницу в LinkedIn!

+11
голос

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT