سرورهای آسیب‌پذیر Exchange، اکنون هدف Lemon_Duck

گردانندگان Lemon_Duck با سوءاستفاده از آسیب‌پذیری‌های ProxyLogon، پس از هک سرورهای آسیب‌پذیر Exchange اقدام به گسترش شبکه مخرب خود و استخراج ارز رمز با استفاده از منابع دستگاه‌های آلوده شده می‌کنند.

در جریان این حملات ابزارهایی که وظیفه آن استخراج ارز رمز مونرو است بر روی دستگاه‌های هک شده اجرا می‌شود.

دامنه این حملات بسیار گسترده گزارش شده است.

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به چکیده‌ای از گزارش‌های منتشر در خصوص این حملات پرداخته شده است.

در ارز رمزها (Cryptocurrency)، فرایندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلی‌ترین وظایف آن تأیید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرایند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه ارز رمز نیز در قبال تلاشی که برای این پردازش‌ها انجام می‌شود به استخراج‌کنندگان پاداشی اختصاص می‌دهد. از همین رو، برخی افراد نیز با بکارگیری برنامه‌های استخراج‌کننده (Miner) تلاش می‌کنند تا در ازای استخراج ارز رمز، مشمول پاداش شبکه ارز رمز شوند. اما با توجه به نیاز به توان پردازش بالا، انجام استخراج می‌تواند یک سرمایه‌گذاری هزینه‌بر برای استخراج‌کننده باشد. به همین خاطر در حملات موسوم به رمز ربایی (Cryptojacking)، استخراج‌کننده بدخواه با آلوده کردن دستگاه‌ دیگران به بدافزارهای ویژه استخراج، از توان پردازشی آنها به نفع خود بهره‌گیری می‌کند. در حقیقت در رمز ربایی، این مهاجمان هستند که همه منافع حاصل از استخراج را بدون هر گونه سرمایه‌گذاری کسب می‌کنند؛ در حالی که دستگاه قربانی انجام‌دهنده امور اصلی بوده‌ است.

در حملات اخیر Lemon_Duck مهاجمان با استفاده از وب‌شل‌هایی که بر روی سرورهای آلوده MS Exchange توزیع شده اقدام به دریافت کد مخرب از نشانی‌های p.estonine[.]com و cdn.chatcdn[.]net می‌کنند.

در حملات قبلی Lemon_Duck، مهاجمان با بکارگیری Exploit-kit (بسته‌ بهره‌جوی) EternalBlue یا اجرای حملات موسوم به Brute-force ماشین‌های Linux و سرورهای MS SQL را هدف قرار می‌دادند.

Lemon_Duck آلوده‌سازی سرورهای Redis و کلاسترهای Hadoop مبتنی بر YARN را نیز در کارنامه دارد.

در مواردی هم گردانندگان Lemon_Duck در کارزارهای هرزنامه‌ای، با بهره‌گیری از موضوعات مرتبط با کووید-19 و با سوءاستفاده از آسیب‌پذیری CVE-2017-8570 دستگاه کاربران ناآگاه را آلوده به بدافزارهای خود می‌کردند. CVE-2017-8570 ضعفی از نوع RCE است که مجموعه نرم‌افزاری Microsoft Office از آن متأثر می‌شود.

Lemon_Duck یکی از پیشرفته‌ترین شبکه‌های مخرب رمز ربایی (Cryptojacking Botnet) شناخته می‌شود.

ProxyLogon که بتازگی به استخدام Lemon_Duck در آمده مجموعه آسیب‌پذیری‌هایی در سرویس‌دهنده ایمیل MS Exchange است که مایکروسافت (Microsoft, Corp) در 12 اسفند اصلاحیه‌هایی اضطراری برای ترمیم آنها منتشر کرد. پیش از در دسترس قرار گرفتن اصلاحیه‌های مذکور حداقل یک گروه از مهاجمان در حملات خود از ProxyLogon سوءاستفاده کرده بودند. از زمان انتشار اصلاحیه‌ها و افشای جزییات آن، هکرهای مستقل و گردانندگان APT متعددی، ProxyLogon را به فهرست تکنیک‌های نفوذ خود اضافه کرده‌اند. برای مثال همان‌طور که در گزارش زیر به آن پرداخته شد مهاجمان با هک سرورهای آسیب‌پذیر MS Exchange در حال نفوذ به آنها و در ادامه توزیع باج‌افزار جدیدی با نام DearCry هستند.

https://newsroom.shabakeh.net/22071/

لذا توجه به نکات اشاره شده در گزارش زیر به‌منظور ایمن ساختن سرورهای MS Exchange به تمامی سازمان‌ها توصیه می‌شود:

https://newsroom.shabakeh.net/22058/

مطالعه مقالات، توصیه‌نامه‌ها و اطلاعیه‌های زیر نیز به تمامی راهبران و کارشناسان امنیت پیشنهاد می‌شود:

Protecting on-premises Exchange Servers against recent attacks:

https://www.microsoft.com/security/blog/2021/03/12/protecting-on-premises-exchange-servers-against-recent-attacks/

 

McAfee coverage for March, 2021 Microsoft Exchange Zero-Day Exploits and Associated Known Campaigns:

https://kc.mcafee.com/corporate/index?page=content&id=KB94270

 

Exchange servers under siege from at least 10 APT groups:

https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/

 

Microsoft Exchange Server Attack Timeline:

https://unit42.paloaltonetworks.com/microsoft-exchange-server-attack-timeline/

 

HAFNIUM: Advice about the new nation-state attack

https://news.sophos.com/en-us/2021/03/05/hafnium-advice-about-the-new-nation-state-attack/

 

Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities

https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *