Новости Всплеск активности ботнета Lemon Duck, предназначенного для майнинга криптовалюты

Тема в разделе "Новости", создана пользователем Mr. Pickles, 28 окт 2020.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    788
    Симпатии:
    229
    2.jpg

    Исследователи предупреждают о всплеске активности криптовалютного ботнета, наблюдаемого начиная с августа 2020 года.

    Исследователи предупреждают о недавнем резком повышении активности криптовалютного ботнета под названием Lemon Duck, целью которого являются вычислительные ресурсы жертв, которые в результате используются для майнинга виртуальной валюты Monero.

    Исследователи предупреждают, что Lemon Duck является «одним из самых сложных» майнинговых ботнетов, у которого имеется несколько «козырей в рукаве». Во время активности ботнета, по крайней мере, начиная с конца декабря 2018 года исследователи наблюдали увеличение запросов DNS, связанных с его серверами команд и управления (C2) и майнинговыми серверами с конца августа 2020 при проведении множественных атак в основном в Азиатском регионе (включая Иран, Египет, Филиппины, Вьетнам и Индию).

    Согласно заявлению, сделанному исследователями Cisco Talos в их исследовательском отчёте, опубликованном во вторник: «Cisco Talos в рамках проводимой телеметрии конечных точек удалось выявить активность, связанную с вредоносным программным обеспечением (ПО) Lemon Duck для майнинга криптовалюты. Жертвами стали три различные компании в правительственном, технологическом секторах и секторе розничной торговли. Мы наблюдали за данной активностью в период с конца марта 2020 года по настоящее время».

    При проведении более поздних атак использовались менее документированные модули, которые загружались основным компонентом PowerShell, включая ветку Linux и модуль, позволяющий дальнейшее распространение вредоносного ПО путём рассылки потенциальным жертвам писем, как бы содержащих интересную информацию по COVID-19.

    Threatpost обратился к исследователям за дополнительной информацией о том, сколько людей стали мишенью и какова прибыль, полученная операторами ботнета в результате проведённых атак и майнинга криптовалюты.

    Lemon Duck

    Lemon Duck предполагает по крайней мере 12 независимых векторов заражения — это больше, чем в случае с большинством вредоносных программ. Ряд этих возможностей простирается, начиная с обычного подбора паролей, сообщений блокировки сервера (SMB) и протокола удалённого рабочего стола (RDP), отправки писем с использованием вредоносных вложений или уязвимости RDP BlueKeep (CVE-2019-0708), в случае с операционной системой Windows, и заканчивая использованием уязвимостей Redis (резидентной системы управления базами данных с открытым исходным кодом, используемой как в качестве базы данных, так и кэша и брокера сообщений) и YARN Hadoop (технологии управления ресурсами и планирования работы) в случае с Linux.

    1.jpg
    Активность ботнета Lemon
    Duck в августе. Любезно предоставлено Cisco Talos

    После начального заражения подгружается загрузочный скрипт PowerShell, который использует функцию bpu для отключения операций обнаружения, проводимых Windows Defender в режиме реального времени, и добавления powershell.exe в список процессов, исключенных из сканирования.

    bpu также проверяет, работает ли скрипт с правами администрирования. Если да, загружается рабочая часть бота, которая запускается с помощью Invoke-Expression cmdlet (функция, которая может быть использована для вызова кода в скрипте или команд сборки, которые будут выполнены позже). Если нет, для запуска следующего этапа функция использует существующие исполняемые файлы системы.

    «Это хорошая отправная точка для проведения анализа и извлечения дополнительных модулей, — говорят исследователи. — Почти все модули PowerShell скрываются под четырьмя или пятью слоями, вероятно, генерируемыми модулем Invoke-Obfuscation. Хотя они удаляются относительно просто, но всё же они по-прежнему замедляют процесс анализа и затрудняют обнаружение с помощью обычных подписей».

    Эти исполнительные модули, которые загружаются и управляются основным модулем, связываются с сервером C2 через HTTP.

    Функции модулей

    В число модулей входят основной загрузчик, проверяющий уровень прав пользователя, и компоненты, связанные с майнингом, такие как тип доступной видеокарты (включая GTX, Nvidia, GeForce, AMD и Radeon). Если эти GPU не будут обнаружены, модуль загрузит и запустит скрипт майнинга XMRig, использующий для этого CPU.

    В число других модулей входят основной модуль распространения (который со слов исследователей включает в себя «довольно претенциозный кусок кода», содержащий более 10000 строк), модуль, написанный на языке Python и упакованный при помощи Pyinstaller, и модуль, предназначенный для отключения известных конкурирующих майнинговых ботнетов.

    Lemon Duck также использует модуль для рассылки электронной почты. Он распространяет письма, содержащие название вируса COVID-19 в строке темы и в тексте сообщения, а также другие эмоциональные "уловки" (например, в теме может быть написано WTF (что за чёрт?) или «Что с тобой не так? Ты с ума сошёл!!!!!!!»). Эти письма содержат заражённые вложения, отправляемые путём автоматизированной рассылки Outlook каждому контакту, содержащемуся в адресной книге пользователя, чей компьютер был заражён.

    3.png
    Пример письма, отправленного модулем Lemon
    Duck. Любезно предоставлено Cisco Talos

    Ветвь Linux

    Исследователи также пролили свет на менее документированную часть вредоносного ПО Lemon Duck для ветви Linux. Эти bash-скрипты Lemon Duck выполняются после того, как злоумышленник успешно взломает хост Linux (через Redis, YARN или SSH). Как утверждают исследователи, есть два основных bash-скрипта: первый собирает данные о заражённом хосте и пытается скачать Linux версию майнера XMRig, прежде чем попытается удалить различные системные журналы, а второй старается остановить работу и удалить конкурирующие криптовалютные майнеры, которые уже присутствуют в системе.

    «Скрипт также пытается остановить и удалить процессы, связанные с облачными сервисами обеспечения безопасности Alibaba и Tencent. Скрипт, похоже, используется несколькими ботнетами для майнинга криптовалют на базе Linux», — говорят исследователи.

    Lemon Duck был ранее замечен в 2020 году при попытке атаковать принтеры, смарт-ТВ и автомобили с автоматическим управлением, использующие операционную систему Windows 7. Ещё в феврале исследователи предупреждали, что майнинг, подразумевающий интенсивное использование процессора, сказывается на состоянии оборудования и вызывает сбои в его работе, а также проблемы, связанные с безопасностью, и является причиной нарушения цепочек передачи данных или их полную потерю.

    Исследователи способны пресечь угрозу криптовалютных атак путём отслеживания поведения системы и обнаружения любых угроз, связанных с «высасыванием» ресурсов.

    «Ботнеты для майнинга криптовалют могут быть затратными с точки зрения украденных вычислительных циклов и энергопотребления», — утверждают они. Несмотря на то, что организациям следует уделять особое внимание защите своих наиболее ценных активов, они всё же не должны игнорировать угрозы, которые не так сильно ориентированы на поражение их инфраструктуры.

    ---

    Источник: Lemon Duck Cryptocurrency-Mining Botnet Activity Spikes

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.