Microsoft warnt vor LemonDuck-Malware, die auf Windows- und Linux-Systeme abzielt

  • Eine berüchtigte plattformübergreifende Krypto-Mining-Malware hat ihre Techniken weiter verfeinert und verbessert, um sowohl Windows- als auch Linux-Betriebssysteme anzugreifen, indem sie ältere Schwachstellen ins Visier nimmt und gleichzeitig eine Vielzahl von Verbreitungsmechanismen nutzt, um die Effektivität ihrer Kampagnen zu maximieren.

    “LemonDuck, eine aktiv aktualisierte und robuste Malware, die in erster Linie für ihre Botnet- und Cryptocurrency-Mining-Ziele bekannt ist, folgte demselben Weg, als sie ein ausgefeilteres Verhalten annahm und ihre Operationen eskalierte”, so Microsoft in einem technischen Bericht, der letzte Woche veröffentlicht wurde. “Heute nutzt LemonDuck nicht nur Ressourcen für seine traditionellen Bot- und Mining-Aktivitäten, sondern stiehlt auch Anmeldedaten, entfernt Sicherheitskontrollen, verbreitet sich über E-Mails, bewegt sich seitlich und lässt schließlich mehr Tools für von Menschen betriebene Aktivitäten fallen.”

    [Blocked Image: https://thehackernews.com/images/-9r3EBoAeEj4/YMt1nGWkOMI/AAAAAAAA4Qk/feJCltGJrFcMPYuba5Ihr7WgYxNB6oG-gCLcBGAsYHQ/s300-e100/free-ad-7-300.png]

    Die Malware ist berüchtigt für ihre Fähigkeit, sich schnell über ein infiziertes Netzwerk zu verbreiten, um den Diebstahl von Informationen zu erleichtern und die Maschinen in Cryptocurrency-Mining-Bots zu verwandeln, indem sie deren Rechenressourcen zum illegalen Mining von Cryptocurrency umleitet. LemonDuck fungiert insbesondere als Lader für Folgeangriffe, die den Diebstahl von Anmeldeinformationen und die Installation von Implantaten der nächsten Stufe beinhalten, die als Gateway für eine Vielzahl von bösartigen Bedrohungen, einschließlich Ransomware, dienen können.

    [Blocked Image: https://thehackernews.com/images/-caIKoyAw9ns/YP5-_c6k2vI/AAAAAAAADVg/HVnB5kCM9wAqhPEvwojFy38zBJf7domXACLcBGAsYHQ/s0/windows-minier.jpg]

    Die Aktivitäten von LemonDuck wurden erstmals im Mai 2019 in China entdeckt, bevor es 2020 begann, COVID-19-Themenköder in E-Mail-Angriffen und sogar die kürzlich adressierten “ProxyLogon”-Schwachstellen von Exchange Server zu verwenden, um Zugang zu ungepatchten Systemen zu erhalten. Eine weitere bemerkenswerte Taktik ist die Fähigkeit, “andere Angreifer von einem kompromittierten Gerät zu entfernen, indem sie konkurrierende Malware loswerden und neue Infektionen verhindern, indem sie dieselben Schwachstellen patchen, über die sie sich Zugang verschafft haben.”

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    Angriffe mit LemonDuck-Malware konzentrierten sich vor allem auf den Fertigungs- und IoT-Sektor, wobei die USA, Russland, China, Deutschland, Großbritannien, Indien, Korea, Kanada, Frankreich und Vietnam die meisten Angriffe verzeichneten.

    [Blocked Image: https://thehackernews.com/images/-uptAfnOAL8Q/YP5-9O9KXgI/AAAAAAAADVc/0ej7Y0btP3A0fkcsdWpNTWm6MA5vmjePwCLcBGAsYHQ/s0/malware-map.jpg]

    Zusätzlich outete Microsoft die Operationen einer zweiten Entität, die sich auf LemonDuck verlässt, um “separate Ziele” zu erreichen, die das Unternehmen mit dem Codenamen “LemonCat” bezeichnet. Die Angriffsinfrastruktur, die mit der “Cat”-Variante verbunden ist, soll im Januar 2021 aufgetaucht sein und schließlich zu ihrer Verwendung in Angriffen geführt haben, die auf Schwachstellen in Microsoft Exchange Server abzielten. Nachfolgende Angriffe, die die Cat-Domänen ausnutzten, führten zur Installation von Backdoors, zum Diebstahl von Anmeldeinformationen und Daten sowie zur Auslieferung von Malware, häufig ein Windows-Trojaner namens Ramnit.

    “Die Tatsache, dass die Cat-Infrastruktur für gefährlichere Kampagnen genutzt wird, bedeutet nicht, dass Malware-Infektionen aus der Duck-Infrastruktur weniger wichtig sind”, so Microsoft. “Stattdessen fügt diese Erkenntnis einen wichtigen Kontext für das Verständnis dieser Bedrohung hinzu: Die gleichen Tools, Zugänge und Methoden können in dynamischen Intervallen wiederverwendet werden, um eine größere Wirkung zu erzielen.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com