Исследователи предупреждают о всплеске активности ботнета Lemon Duck

Ботнет для крипто-майнинга, известный как Lemon Duck, демонстрирует повышенную активность с конца августа 2020 года, предупреждают исследователи из команды Cisco Talos. Ботнет, который был активен с декабря 2018 года, использует различные методы для распространения по сети, такие как отправка зараженных файлов RTF с использованием электронной почты, psexec, WMI и SMB-эксплойтов, включая проблемы EternalBlue и SMBGhost, которые влияют на компьютеры с Windows 10.

«Это один из наиболее сложных майнинговых ботнетов с несколькими интересными хитростями в рукаве. Хотя это было задокументировано и раньше, в последнее время мы наблюдаем возрождение количества DNS-запросов, связанных с его серверами управления и майнинга», – пишут исследователи.

Наблюдаемые запросы исходили в основном из Азии, в первую пятерку стран входят Иран, Египет, Филиппины, Вьетнам и Индия.

Конечная цель ботнета – украсть ресурсы компьютера для добычи криптовалюты Monero с использованием криптомайнера XMR. Для распространения по сети ботнет Lemon Duck использует 12 различных векторов заражения – от стандартного копирования через общие ресурсы SMB до попыток использования уязвимостей в Redis, диспетчере ресурсов и планировщике заданий YARN Hadoop.

Заражение начинается со скрипта загрузки PowerShell, который копируется из других зараженных систем с помощью SMB, электронной почты или внешних USB-накопителей. После первоначального заражения загружается сценарий Powershell, содержащий функцию под названием «bpu», которая загружает и выполняет основной компонент установщика PowerShell. Он также отключает обнаружение Защитника Windows в реальном времени и проверяет, запущен ли сценарий с правами администратора. Если это так, полезные данные загружаются и запускаются с помощью командлета Invoke-Expression. Если нет, он использует существующие системные исполняемые файлы для запуска следующего этапа.

«Большая часть функций Lemon Duck предоставляется в виде сценариев PowerShell с несколькими уровнями загрузчиков, которые в конечном итоге устанавливают одну или несколько полезных нагрузок для майнинга криптовалюты, основной модуль распространения, модуль распространения Pyinstaller или модуль распространения электронной почты», – заявили исследователи.

Исследовательская группа также предоставила подробную информацию о менее известной Linux-ветке вредоносного ПО Yellow Duck. Сценарии bash Lemon Duck выполняются после успешного взлома хоста Linux через Redis, YARN или SSH. Существует два основных сценария bash, один из которых собирает информацию о зараженном хосте и пытается загрузить версию майнера XMRig для Linux, а второй является более сложным и ориентирован на завершение и удаление конкурирующих майнеров криптовалюты, уже присутствующих в системе.

«Lemon Duck – это комбинация кода, взятого из проектов с открытым исходным кодом, и кода, специально созданного для ботнета. Объединив их, автор демонстрирует средний уровень технических навыков и понимание проблем безопасности в Windows и различных сетевых протоколах. Такой подход создает код, который труднее поддерживать, но цели могут быть достигнуты очень быстро», – говорят исследователи.

Author: IraRo

Добавить комментарий