استمرار تکامل Lemon Duck

در گزارش مفصلی که مایکروسافت (Microsoft, Corp) آن را منتشر کرده این شرکت نسبت به تکامل بدافزار Lemon Duck و تجهیز آن به قابلیت‌های مخربی همچون توانایی سرقت اطلاعات اصالت‌سنجی و نصب درب‌پشتی (Backdoor) بر روی دستگاه‌های آسیب‌پذیر هشدار داده است.

Lemon Duck یک بدافزار پیشرفته استخراج ارز رمز (Cryptocurrency Miner) است که سرورهای سازمان‌های ایرانی نیز در مواردی هدف حملات آن قرار گرفته‌اند.

 

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، چکیده ای از گزارش مایکروسافت ارائه شده است.

نسخ ابتدایی LemonDuck که چند سال قبل ظهور کردند با تشکیل Botnet تنها اقدام به استخراج رمز ارز مونرو (Monero) بر روی دستگاه‌های آلوده به خود می‌کردند. اما در یک سال گذشته دامنه قابلیت‌های مخرب این بدافزار به‌نحو چشم‌گیری افزایش یافته است.

نفوذ به سرورهای آسیب‌پذیر، سرقت اطلاعات اصالت‌سنجی کلیدی، غیرفعال کردن کنترل‌های امنیتی، انتشار و نصب درب‌پشتی برای باز گذاشتن راه ورود ابزارهای مخرب دیگر از جمله این قابلیت‌هاست.

ایمیل‌های فیشینگ، حافظه‌های USB Flash، اجرای حملات سعی‌وخطا (Brute-force)، سوءاستفاده از آسیب‌پذیری‌های امنیتی اصلی‌ترین روش‌های انتشار LemonDuck محسوب می‌شوند. در برخی موارد نیز پس از آلوده شدن نخستین دستگاه به LemonDuck، مهاجمان با بکارگیری ابزارهای مختلف، دامنه آلودگی را بر روی دستگاه‌های دیگر در سطح شبکه گسترش می‌دهند.

آنچه این بدافزار را نسبت به سایر گونه‌ها خطرناک‌تر می‌کند توانایی آن در آلوده‌سازی هر دو بستر Windows و Linux است.

LemonDuck در استفاده از ضعف‌های امنیتی قدیمی مهارت خاصی دارد؛ مهارتی که به مهاجمان آن کمک می‌کند تا ردی از خود به جا نگذارند. به‌تازگی نیز موارد زیر به فهرست آسیب‌پذیری‌های مورد بهره‌جویی LemonDuck افزوده شده است:

  • CVE-2019-0708 (BlueKeep)
  • CVE-2017-0144 (EternalBlue)
  • CVE-2020-0796 (SMBGhost)
  • CVE-2017-8464 (LNK RCE)
  • CVE-2021-27065 (ProxyLogon)
  • CVE-2021-26855 (ProxyLogon)
  • CVE-2021-26857 (ProxyLogon)
  • CVE-2021-26858 (ProxyLogon)

یکی دیگر از ویژگی‌های جالب این بدافزار، غیرفعال کردن هم‌قطاران خود از روی دستگاه قربانی با ترمیم همان باگ‌هایی است که LemonDuck با سوءاستفاده از آنها به دستگاه راه پیدا کرده است.

همچنین سوابق گردانندگان LemonDuck نشان می‌دهد این مهاجمان به‌نحوی مؤثر از موضوعات روز و آسیب‌پذیری‌های جدید در کارزارهای خود بهره می‌گیرند. برای مثال، در سال گذشته از ایمیل‌هایی با موضوعات مرتبط با کرونا برای فریب کاربران و متقاعد کردن آنها در کلیک بر روی لینک یا پیوست ناقل LemonDuck استفاده شد. یا در نمونه‌ای دیگر این افراد از آسیب‌پذیری‌های روز-صفر در Microsoft Exchange Server برای آلوده‌سازی سرورها به LemonDuck بهره‌جویی کردند.

مشروح گزارش مایکروسافت در لینک زیر قابل دریافت و مطالعه است:

https://www.microsoft.com/security/blog/2021/07/22/when-coin-miners-evolve-part-1-exposing-lemonduck-and-lemoncat-modern-mining-malware-infrastructure/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *