Il malware cryptominer Lemon_Duck ora prende di mira i dispositivi Linux
28 Agosto 2020 - Tempo di lettura: 11 minuti
Il malware di cryptomining Lemon_Duck è stato aggiornato per compromettere le macchine Linux tramite attacchi di forza bruta SSH, per sfruttare i sistemi Windows vulnerabili a SMBGhost e per infettare i server che eseguono istanze Redis e Hadoop.
Lemon_Duck (individuato lo scorso anno da Trend Micro e ulteriormente esaminato da SentinelOne) è noto per prendere di mira le reti aziendali, ottenendo l'accesso tramite il servizio MS SQL tramite il brute-force o il protocollo SMB utilizzando EternalBlue secondo Ophir Harpaz di Guardicore.
Una volta infettato con successo un dispositivo, il malware rilascia un payload di minatore CPU XMRig Monero (XMR) che utilizza le risorse del sistema compromesso per estrarre criptovaluta per gli operatori di Lemon_Duck.
A caccia di Linux box e app cloud
Per trovare i dispositivi Linux che può infettare come parte degli attacchi di forza bruta SSH, Lemon_Duck utilizza un modulo di scansione delle porte che cerca i sistemi Linux connessi a Internet in ascolto sulla porta 22 TCP utilizzata per l'accesso remoto SSH.
"Quando le trova, lancia un attacco di forza bruta SSH su queste macchine, con la radice del nome utente e un elenco di password codificato", come ha detto il ricercatore di sicurezza di Sophos Rajesh Nataraj in un rapporto pubblicato questa settimana. "Se l'attacco ha successo, gli aggressori scaricano ed eseguono uno shellcode dannoso."
Per assicurarsi che sopravviva anche tra i riavvii del sistema, il malware cercherà anche di aumentare la persistenza aggiungendo un cron job.
Lemon_Duck cerca quindi più dispositivi Linux su cui rilasciare i payload raccogliendo le credenziali di autenticazione SSH dal file /.ssh/known_hosts.
Anche altri cryptominer vengono braccati e uccisi da Lemon_Duck su macchine Linux compromesse per assicurarsi che l'intero pool di risorse venga utilizzato per estrarre criptovaluta per i suoi padroni.
Aggiornato con nuovi vettori di attacco
Il cryptojacker viene anche distribuito alle potenziali vittime tramite campagne di spam su larga scala COVID-19 che fanno uso di un exploit RTF mirato alla vulnerabilità CVE-2017-8570 Microsoft Office Remote Code Execution (RCE) per fornire il payload dannoso.
Più recentemente, gli autori di Lemon_Duck hanno anche aggiunto un modulo che sfrutta la vulnerabilità RCE client / server SMBv3 Windows SMBGhost (CVE-2020-0796) pre-autorizzazione wormable.
Tuttavia, invece di sfruttare questa falla di sicurezza sui sistemi vulnerabili per eseguire codice arbitrario, gli operatori del malware utilizzano questo modulo per raccogliere informazioni sulle macchine compromesse.
Per circa due mesi, tra l'inizio di giugno e agosto, i responsabili delle minacce dietro Lemon Duck hanno disabilitato i moduli EternalBlue e Mimikatz del malware con il probabile obiettivo di confrontare l'efficacia dei moduli di SMBGhost.
Dopo aver distribuito il minatore XMRig sui dispositivi compromessi, il malware tenterà anche di disabilitare la compressione SMBv3 e bloccare le porte 445 e 135 SMB per impedire ad altri di sfruttare i sistemi vulnerabili SMBGhost infetti.
Gli autori di Lemon_Duck hanno anche aggiunto il supporto per la scansione e l'hacking nei server che eseguono database Redis (REmote DIctionary Server) esposti e cluster Hadoop gestiti utilizzando YARN (Yet Another Resource Negotiator).
"Il cryptominer Lemon Duck è uno dei tipi più avanzati di payload cryptojacker che abbiamo visto", ha spiegato Rajesh Nataraj, ricercatore di sicurezza di Sophos.
"I suoi creatori aggiornano continuamente il codice con nuovi vettori di minacce e tecniche di offuscamento per eludere il rilevamento, e il minatore stesso è 'senza file', il che significa che rimane residente nella memoria e non lascia traccia di se stesso sul filesystem della vittima."
