研究人员调查了柠檬鸭黑客组织的最新活动,包括利用Microsoft Exchange Server漏洞和使用诱饵顶级域。
零日活动漏洞今年至少有10个高级持久性威胁(APT)组织采用了这些漏洞。
3月下旬,微软称已发现柠檬鸭僵尸网络https://www.zdnet.com/article/exchange-server-attacks-microsoft-shares-intelligence-on-post-compromise-activities/“target=”\u blank“>利用易受攻击的服务器并使用系统挖掘加密货币。
现在,来自Cisco Talos的研究人员https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>深入分析了网络攻击者当前的战术。
Lemon Duck运营商正在整合新的工具,通过针对Microsoft Exchange Server中的高严重性漏洞“最大限度地提高其活动的有效性”,并且在对Lemon Duck域进行DNS查询后,遥测数据显示,活动活动活动在4月份激增。
大多数查询来自美国,其次是欧洲和东南亚。在印度,对一个柠檬鸭域名的查询也出现了实质性的高峰。
Lemon Duck运营商在加载诸如Cobalt Strike DNS信标和web Shell等有效负载之前,使用自动化工具扫描、检测和利用服务器,从而导致加密货币挖掘软件和其他恶意软件的执行。
恶意软件和相关PowerShell脚本还将试图删除ESET和Kaspersky等供应商提供的防病毒产品,并将停止任何可能妨碍感染尝试的服务,包括Windows Update和Windows Defender。
创建计划任务是为了保持持久性,在最近的活动中,CertUtil命令行程序用于下载两个新的PowerShell脚本,这些脚本的任务是删除AV产品、创建持久性例程和下载XMRig cryptocurrency miner的变体。
竞争的加密货币矿工签名也被硬编码并写入“杀手”模块中进行删除。
SMBGhost和ternal Blue在过去的营销活动中曾被使用,但正如微软Exchange服务器缺陷所显示的那样,该集团的策略正在不断变化,以保持领先地位。
Lemon Duck还一直在为中国、日本和韩国创建诱饵顶级域(TLD),试图混淆指挥与控制(C2)中心的基础设施
“考虑到这些cctld最常用于各自国家和语言的网站,同样有趣的是,它们被使用,而不是像“.com”或“.net”这样更通用和全球使用的tld,”Cisco Talos指出这可能使威胁参与者能够更有效地隐藏受害者环境中存在的其他网络流量之间的C2通信。“
柠檬鸭僵尸网络和Beapy/Pcastle加密货币恶意软件之间的重叠也被观察到。
“使用新的工具,如Cobalt-Strike,以及在整个攻击生命周期中实施额外的模糊技术,可以使它们在受害者环境中更有效地运行更长时间,”研究人员说新的TTP与据报道广泛利用备受关注的Microsoft Exchange软件漏洞有关,其他基于主机的证据表明,这一威胁行为体现在也表现出了针对Exchange服务器的特定兴趣,因为它们试图破坏其他系统,并在柠檬鸭僵尸网络中维护和/或增加系统的数量。”href=“https://www.zdnet.com/article/new-moriya-rootkit-stealthily-backdoors-windows-systems/“target=”\u blank“>新Moriya rootkit悄悄地后门Windows系统
有提示吗?通过WhatsApp信号安全联系,电话:+447713 025 499,或者在Keybase:charlie0
