سرورهای آسیبپذیر Exchange، اکنون هدف Lemon_Duck
گردانندگان Lemon_Duck با سوءاستفاده از آسیبپذیریهای ProxyLogon، پس از هک سرورهای آسیبپذیر Exchange اقدام به گسترش شبکه مخرب خود و استخراج ارز رمز با استفاده از منابع دستگاههای آلوده شده میکنند.
در جریان این حملات ابزارهایی که وظیفه آن استخراج ارز رمز مونرو است بر روی دستگاههای هک شده اجرا میشود.
دامنه این حملات بسیار گسترده گزارش شده است.
در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به چکیدهای از گزارشهای منتشر در خصوص این حملات پرداخته شده است.
در ارز رمزها (Cryptocurrency)، فرایندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلیترین وظایف آن تأیید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرایند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه ارز رمز نیز در قبال تلاشی که برای این پردازشها انجام میشود به استخراجکنندگان پاداشی اختصاص میدهد. از همین رو، برخی افراد نیز با بکارگیری برنامههای استخراجکننده (Miner) تلاش میکنند تا در ازای استخراج ارز رمز، مشمول پاداش شبکه ارز رمز شوند. اما با توجه به نیاز به توان پردازش بالا، انجام استخراج میتواند یک سرمایهگذاری هزینهبر برای استخراجکننده باشد. به همین خاطر در حملات موسوم به رمز ربایی (Cryptojacking)، استخراجکننده بدخواه با آلوده کردن دستگاه دیگران به بدافزارهای ویژه استخراج، از توان پردازشی آنها به نفع خود بهرهگیری میکند. در حقیقت در رمز ربایی، این مهاجمان هستند که همه منافع حاصل از استخراج را بدون هر گونه سرمایهگذاری کسب میکنند؛ در حالی که دستگاه قربانی انجامدهنده امور اصلی بوده است.
در حملات اخیر Lemon_Duck مهاجمان با استفاده از وبشلهایی که بر روی سرورهای آلوده MS Exchange توزیع شده اقدام به دریافت کد مخرب از نشانیهای p.estonine[.]com و cdn.chatcdn[.]net میکنند.
در حملات قبلی Lemon_Duck، مهاجمان با بکارگیری Exploit-kit (بسته بهرهجوی) EternalBlue یا اجرای حملات موسوم به Brute-force ماشینهای Linux و سرورهای MS SQL را هدف قرار میدادند.
Lemon_Duck آلودهسازی سرورهای Redis و کلاسترهای Hadoop مبتنی بر YARN را نیز در کارنامه دارد.
در مواردی هم گردانندگان Lemon_Duck در کارزارهای هرزنامهای، با بهرهگیری از موضوعات مرتبط با کووید-19 و با سوءاستفاده از آسیبپذیری CVE-2017-8570 دستگاه کاربران ناآگاه را آلوده به بدافزارهای خود میکردند. CVE-2017-8570 ضعفی از نوع RCE است که مجموعه نرمافزاری Microsoft Office از آن متأثر میشود.
Lemon_Duck یکی از پیشرفتهترین شبکههای مخرب رمز ربایی (Cryptojacking Botnet) شناخته میشود.
ProxyLogon که بتازگی به استخدام Lemon_Duck در آمده مجموعه آسیبپذیریهایی در سرویسدهنده ایمیل MS Exchange است که مایکروسافت (Microsoft, Corp) در 12 اسفند اصلاحیههایی اضطراری برای ترمیم آنها منتشر کرد. پیش از در دسترس قرار گرفتن اصلاحیههای مذکور حداقل یک گروه از مهاجمان در حملات خود از ProxyLogon سوءاستفاده کرده بودند. از زمان انتشار اصلاحیهها و افشای جزییات آن، هکرهای مستقل و گردانندگان APT متعددی، ProxyLogon را به فهرست تکنیکهای نفوذ خود اضافه کردهاند. برای مثال همانطور که در گزارش زیر به آن پرداخته شد مهاجمان با هک سرورهای آسیبپذیر MS Exchange در حال نفوذ به آنها و در ادامه توزیع باجافزار جدیدی با نام DearCry هستند.
https://newsroom.shabakeh.net/22071/
لذا توجه به نکات اشاره شده در گزارش زیر بهمنظور ایمن ساختن سرورهای MS Exchange به تمامی سازمانها توصیه میشود:
https://newsroom.shabakeh.net/22058/
مطالعه مقالات، توصیهنامهها و اطلاعیههای زیر نیز به تمامی راهبران و کارشناسان امنیت پیشنهاد میشود:
Protecting on-premises Exchange Servers against recent attacks:
McAfee coverage for March, 2021 Microsoft Exchange Zero-Day Exploits and Associated Known Campaigns:
https://kc.mcafee.com/corporate/index?page=content&id=KB94270
Exchange servers under siege from at least 10 APT groups:
https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/
Microsoft Exchange Server Attack Timeline:
https://unit42.paloaltonetworks.com/microsoft-exchange-server-attack-timeline/
HAFNIUM: Advice about the new nation-state attack
https://news.sophos.com/en-us/2021/03/05/hafnium-advice-about-the-new-nation-state-attack/
Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities