Вредоносный криптомайнер Lemon_Duck нацелился на устройства Linux

Дата: 28.08.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Вредоносный криптомайнер Lemon_Duck нацелился на устройства Linux

Вредоносное ПО для майнинга криптовалюты Lemon_Duck было обновлено разработчиками и теперь может компрометировать компьютеры под управления Linux.

Lemon_Duck – вредоносная программа для криптомайнинга, которая была обнаружена в 2019 г. компанией Trend Micro и изучена специалистами SentinelOne. Вредонос известен своей нацеленностью на корпоративные сети организаций. Доступ к внутренним сетям он получает через службу MS SQL с использованием атак грубой силы или протокола SMB с применением EternalBlue.

После успешного заражения устройства вредоносное ПО сбрасывает полезную нагрузку процессора на софт XMRig Monero (XMR), который использует ресурсы скомпрометированной системы для добычи криптовалюты для операторов Lemon_Duck.

Чтобы найти устройства Linux, которые можно заразить, применяя атаку методом перебора SSH, Lemon_Duck использует модуль сканирования портов, который ищет подключенные к интернету системы Linux, прослушивающие порт TCP 22, используемые для удаленного входа в систему по SSH.

Специалист по информационной безопасности Sophos Раджеш Натарадж отметил: «Когда Lemon_Duck их находит, вредонос запускает SSH-атаку методом перебора с использованием имени пользователя root и закодированного списка паролей».

Затем Lemon_Duck ищет другие устройства Linux, на которые можно сбросить полезную нагрузку, собирая учетные данные для аутентификации SSH из файла /.ssh/known_hosts. Еще более интересен тот факт, что Lemon_Duck ищет и удаляет другие криптомайнеры на скомпрометированных устройствах Linux.

Недавно операторы Lemon_Duck также добавили модуль, который эксплуатирует уязвимость Windows SMBv3 Client / Server RCE с возможностью предварительной авторизации SMBGhost (CVE-2020-0796). Но вместо того, чтобы использовать эту уязвимость безопасности в системах для запуска произвольного кода, киберпреступники применяют этот модуль для сбора данных о скомпрометированных устройствах.

После развертывания майнера XMRig на скомпрометированных устройствах вредоносная программа Lemon_Duck также попытается отключить сжатие SMBv3 и заблокировать 445 и 135 SMB-порты, чтобы другие не могли использовать зараженные SMBGhost-уязвимые системы.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *