返回

微软警告针对Windows和Linux系统的LemonDuck恶意软件

发布时间:2022-03-02 08:31:08 982

一个臭名昭著的跨平台加密挖掘恶意软件通过瞄准较老的漏洞,继续改进攻击Windows和Linux操作系统的技术,同时锁定各种传播机制,以最大限度地提高其活动的有效性。

微软在上周发布的一篇技术评论中称:“LemonDuck是一个积极更新的、健壮的恶意软件,主要以其僵尸网络和加密货币挖掘目标而闻名,当它采取更复杂的行为并升级其操作时,也遵循了同样的轨迹。”。“如今,除了将资源用于传统的机器人和采矿活动之外,LemonDuck还会窃取凭证、移除安全控制、通过电子邮件传播、横向移动,并最终丢弃更多用于人工操作活动的工具。”

该恶意软件因其能够在受感染的网络中快速传播,以方便信息盗窃,并通过转移计算机资源非法开采加密货币,将机器变成加密货币挖掘机器人而臭名昭著。值得注意的是,LemonDuck充当了后续攻击的加载程序,这些攻击涉及凭证盗窃和安装下一阶段植入物,这些植入物可以充当各种恶意威胁的网关,包括勒索软件。

LemonDuck的活动于2019年5月首次在中国被发现,之后它于2020年开始在电子邮件攻击中采用新冠肺炎主题的诱饵,甚至最近解决的“ProxyLogon”Exchange服务器漏洞,以获得对未修补系统的访问。另一个值得注意的策略是,它能够“通过清除竞争性恶意软件,并通过修补用于获取访问权限的相同漏洞,防止任何新的感染,从受损设备中清除其他攻击者。”

包括柠檬龙恶意软件的攻击主要集中在制造业和物联网行业,美国、俄罗斯、中国、德国、英国、印度、韩国、加拿大、法国和越南见证了最多的遭遇。

此外,微软还透露了第二个实体的运营情况,该实体依靠LemonDuck实现“独立目标”,该公司将其命名为“LemonCat”与“CAT”变体相关联的攻击基础设施据说是在2021年1月出现的,最终导致其在攻击攻击漏洞的同时使用针对微软Exchange Server的漏洞。随后利用Cat域进行的入侵导致后门安装、凭据和数据盗窃,以及恶意软件交付,通常是一个名为Ramnit的Windows特洛伊木马。

“Cat基础设施被用于更危险的活动,这一事实并没有降低鸭子基础设施的恶意软件感染的优先级,”微软说。“相反,这种情报为理解这种威胁增加了重要的背景:同一套工具、访问和方法可以在动态间隔内重复使用,从而产生更大的影响。”

更新:在对感染后攻击者行为的深入研究中,微软于周四披露了LemonDuck的传播策略,包括edge发起的妥协和机器人驱动的电子邮件活动,并指出它依靠无文件恶意软件技术,使补救和删除变得非常重要。

“LemonDuck试图自动禁用Microsoft Defender进行端点实时监控,并将整个磁盘驱动器–;特别是C:\drive–;添加到Microsoft Defender排除列表中,”Microsoft 365 Defender威胁情报团队说,这反映了一种被称为“MosaicLoader”的新恶意软件为阻止反病毒扫描而采用的策略。

据说,攻击链还利用了大量免费提供的开源和定制工具集,以方便凭证盗窃、横向移动、权限提升,甚至从受损设备上清除所有其他僵尸网络、矿工和竞争对手恶意软件的痕迹,下载XMRig miner植入物作为其货币化机制的一部分。


特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线