Меню
Поиск

LemonDuck защищает захваченные Windows/Linux системы от (других) кибератак

2 август, 2021 - 15:25

Вредоносная программа LemonDuck, созданная весьма мотивированными и не стеснёнными в средствах киберпреступниками, внедряет всего лишь криптомайнеры, крадущие вычислительные ресурсы процессора, однако Microsoft своим анализом побуждает отнестись к ней серьёзнее, чем к относительно безобидной шалости.

Согласно Microsoft, богатый арсенал хакерских инструментов, уловок и эксплойтов этой группы нацелен на одно: сохранять эксклюзивный доступ к скомпрометированной сети как можно дольше.

Злоумышленники пытаются стать фактическими владельцами скомпрометированных сетей, отключая антивирусную защиту (Microsoft Defender for Endpoint, ESET, Kaspersky, Avast, Norton Security и MalwareBytes), удаляя конкурирующие вредоносные программы и даже автоматически исправляя уязвимости, чтобы блокировать атаки конкурентов и, заодно, ограничить свою видимость для отделов безопасности предприятий, чьё внимание могут в первую очередь привлекать непропатченные устройства.

Так, в марте-апреле группа использовала критические эксплойты ProxyLogon для установки веб-оболочек на серверы Exchange, после чего применила переименованные копии инструмента Microsoft Exchange On-Premises Mitigation Tool, чтобы исправить эти ошибки (сохранив при этом полный доступ к взломанным устройствам).

Обнаружив в скомпрометированной системе работающую программу Outlook, LemonDuck сканирует её почтовый ящик и начинает рассылать найденным контактам вредоносное ПО в электронных письмах с прикрепленными файлами .zip, .js или .doc/.rtf.

LemonDuck использует множество методов, чтобы закрепиться во взломанных машинах, включая эксплойты, атаки подбором паролей и эксплойты SSH, MSSQL, SMB, Exchange, RDP, REDIS и Hadoop YARN для систем Linux и Windows.

Злоумышленники вручную генерируют запланированные задачи и сценарии для создания безфайловой устойчивости: перезапуск сценария загрузки PowerShell задействует инфраструктуру управления и контроля (C2), возобновляя все вредоносные компоненты, которые были отключены или удалены. Веб-оболочки остаются в системе даже после установки исправлений.

Чтобы сделать своё присутствие более устойчивым, хакеры размещают копии скриптов на нескольких сайтах (это затрудняет их удаление) и в бэкапах.