Microsoft cảnh báo về các phần mềm độc hại khai thác tiền điện tử LemonDuck

04/06/2014
37
446 bài viết
Microsoft cảnh báo về các phần mềm độc hại khai thác tiền điện tử LemonDuck
Phần mềm độc hại khai thác tiền ảo đang nhắm vào các lỗ hổng cũ mà tưởng như có thể đã bị lãng quên.
Nhóm hacker bị phát hiện khi đang sử dụng lỗi Exchange để khai thác tiền điện tử vào tháng 5/2021.
“Nhóm hacker có tên LemonDuck liên tục sử dụng các lỗ hổng cũ, bởi đó là thời điểm sự tập chung chuyển sang lỗ hổng phổ biến hơn là điều tra sự xâm phạm”, Microsoft 365 Defender Threat Intelligence Team lưu ý.
"Đáng chú ý, LemonDuck loại bỏ những kẻ tấn công khác khỏi thiết bị bị xâm nhập bằng cách loại bỏ phần mềm độc hại cạnh tranh và ngăn chặn bất kỳ sự lây nhiễm mới nào bằng cách vá các lỗ hổng tương tự mà nó đã sử dụng để truy cập".
photo-1-1623408147509788559307-jpg.9246
Các nhà nghiên cứu của Cisco cũng đã tìm hiểu các hoạt động Exchange, và cho thấy LemonDuck đang sử dụng các công cụ tự động để quét, phát hiện và khai thác máy chủ trước khi tải payload, chẳng hạn như bộ kiểm tra bút Cobalt Strike - một công cụ được ưa chuộng cho chuyển động ngang - và các trình bao web, cho phép phần mềm độc hại cài đặt các mô-đun bổ sung.
Theo Microsoft, LemonDuck ban đầu đã tấn công vào Trung Quốc, hiện đã mở rộng sang Mỹ, Nga, Đức, Anh, Ấn Độ, Hàn Quốc, Canada, Pháp và Việt Nam…, tập trung vào các lĩnh vực sản xuất và IoT.
Năm nay, nhóm đã tăng cường hack bàn phím thực hành hoặc thủ công. Nhóm có chọn lọc với các mục tiêu của mình.
Hacker cũng tạo ra các nhiệm vụ tự động để khai thác Eternal Blue SMB khai thác từ NSA đã bị rò rỉ bởi các tin tặc được Kremlin hậu thuẫn và được sử dụng trong cuộc tấn công ransomware WannCry năm 2017.
LemonDuck lấy tên từ biến "Lemon_Duck" trong tập lệnh PowerShell hoạt động như tác nhân người dùng để theo dõi các thiết bị bị nhiễm.
Các lỗ hổng được nhắm mục tiêu gồm CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) và CVE-2021-27065 (ProxyLogon).
Theo: ZDNet
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên