Microsoft Memperingatkan Malware LemonDuck yang Menargetkan Sistem Windows dan Linux

Microsoft Memperingatkan Malware LemonDuck yang Menargetkan Sistem Windows dan Linux

Malware penambangan kripto lintas platform yang terkenal terus menyempurnakan dan meningkatkan tekniknya untuk menyerang sistem operasi Windows dan Linux dengan mengarahkan pandangannya pada kerentanan yang lebih lama, sambil secara bersamaan menggunakan berbagai mekanisme penyebaran untuk memaksimalkan efektivitasnya. kampanye.

“LemonDuck, malware yang diperbarui secara aktif dan kuat yang terutama dikenal dengan botnet dan tujuan penambangan cryptocurrency, mengikuti lintasan yang sama ketika mengadopsi perilaku yang lebih canggih dan meningkatkan operasinya,” Microsoft dikatakan dalam penulisan teknis yang diterbitkan minggu lalu. “Hari ini, selain menggunakan sumber daya untuk bot tradisional dan aktivitas penambangan, LemonDuck mencuri kredensial, menghapus kontrol keamanan, menyebar melalui email, bergerak ke samping, dan akhirnya menjatuhkan lebih banyak alat untuk aktivitas yang dioperasikan manusia.”

Bacaan Lainnya

Malware ini terkenal karena kemampuannya untuk menyebar dengan cepat di seluruh jaringan yang terinfeksi untuk memfasilitasi pencurian informasi dan mengubah mesin menjadi bot penambangan cryptocurrency dengan mengalihkan sumber daya komputasi mereka untuk menambang cryptocurrency secara ilegal. Khususnya, LemonDuck bertindak sebagai pemuat untuk serangan lanjutan yang melibatkan pencurian kredensial dan pemasangan implan tahap berikutnya yang dapat bertindak sebagai pintu gerbang ke berbagai ancaman berbahaya, termasuk ransomware.

Aktivitas LemonDuck pertama kali terlihat di China pada Mei 2019, sebelum mulai diadopsi Umpan bertema COVID-19 dalam serangan email pada tahun 2020 dan bahkan “ProxyLogon” yang baru-baru ini ditangani Kelemahan Server Exchange untuk mendapatkan akses ke sistem yang belum ditambal. Taktik lain yang perlu diperhatikan adalah kemampuannya untuk menghapus “penyerang lain dari perangkat yang disusupi dengan menyingkirkan malware yang bersaing dan mencegah infeksi baru dengan menambal kerentanan yang sama yang digunakan untuk mendapatkan akses.”

Serangan yang menggabungkan malware LemonDuck terutama difokuskan pada sektor manufaktur dan IoT, dengan AS, Rusia, Cina, Jerman, Inggris, India, Korea, Kanada, Prancis, dan Vietnam menjadi saksi serangan terbanyak.

Selain itu, Microsoft mengungguli operasi entitas kedua yang mengandalkan LemonDuck untuk mencapai “tujuan terpisah”, yang diberi nama kode perusahaan “LemonCat.” Infrastruktur serangan yang terkait dengan varian “Cat” dikatakan telah muncul pada Januari 2021, yang pada akhirnya mengarah pada penggunaannya dalam serangan yang mengeksploitasi kerentanan yang menargetkan Microsoft Exchange Server. Penyusupan berikutnya yang memanfaatkan domain Cat mengakibatkan pemasangan pintu belakang, kredensial, dan pencurian data, serta pengiriman malware, sering kali disebut trojan Windows Ramnit.

“Fakta bahwa infrastruktur Cat digunakan untuk kampanye yang lebih berbahaya tidak mengurangi infeksi malware dari infrastruktur Duck,” kata Microsoft. “Sebaliknya, kecerdasan ini menambahkan konteks penting untuk memahami ancaman ini: seperangkat alat, akses, dan metode yang sama dapat digunakan kembali pada interval dinamis, untuk dampak yang lebih besar.”

Memperbarui: Dalam penyelaman mendalam pada perilaku penyerang pasca infeksi, Microsoft pada hari Kamis mengungkapkan taktik propagasi LemonDuck, menghitung kompromi yang dimulai dari tepi dan kampanye email yang digerakkan oleh bot, mencatat bahwa ia mengandalkan teknik malware tanpa file untuk membuat perbaikan dan penghapusan non-sepele.

“LemonDuck mencoba untuk secara otomatis menonaktifkan pemantauan waktu nyata Microsoft Defender untuk Endpoint dan menambahkan seluruh drive disk – khususnya drive C: – ke daftar pengecualian Microsoft Defender,” Microsoft 365 Defender Threat Intelligence Team dikatakan, mencerminkan taktik yang baru-baru ini diungkapkan seperti yang diadopsi oleh jenis malware baru yang dijuluki “MosaicLoader” untuk menggagalkan pemindaian antivirus.

Rantai serangan juga dikatakan memanfaatkan berbagai sumber terbuka dan perangkat kustom yang tersedia secara bebas untuk memfasilitasi pencurian kredensial, pergerakan lateral, eskalasi hak istimewa, dan bahkan menghapus jejak semua botnet, penambang, dan malware pesaing lainnya dari perangkat yang disusupi, saat mengunduh implan penambang XMRig sebagai bagian dari mekanisme monetisasinya.

'+n+'...
'+a+"...
"}s+="",document.getElementById("result").innerHTML=s}}),t=!0)})}); //]]>

Pos terkait