Lemon Duck traz mineiros de criptomoeda de volta aos holofotes
Estamos acostumados a ataques de ransomware e grandes jogos de caça nas manchetes, mas ainda existem métodos que os adversários usam para monetizar seus esforços de maneiras menos intrusivas.
Por Vanja Svajcer , com contribuições de Caitlin Huey .
- O Cisco Talos registrou recentemente um aumento na atividade do botnet de mineração de criptomoedas Lemon Duck usando várias técnicas que provavelmente serão detectadas pelos defensores, mas não são imediatamente óbvias para os usuários finais.
- Essas ameaças demonstram várias técnicas da estrutura MITER ATT & CK , mais notavelmente T1203 (Exploração para Execução do Cliente), T1089 (Desativando Ferramentas de Segurança), T1105 (Cópia de Arquivo Remoto), T1027 (Arquivos ou Informações Ofuscados), T1086 (PowerShell), T1035 ( Service Execution), T1021.002 (Remote Services: SMB / Windows Admin Shares), T1053 (Scheduled Task), T1562.004 (Impair Defenses: Disable ou Modify System Firewall) e T1218.005 (Signed Binary Proxy Execution: Mshta).
Os invasores estão constantemente reinventando maneiras de monetizar suas ferramentas. O Cisco Talos descobriu recentemente uma campanha complexa que emprega um botnet multimodular com várias maneiras de se espalhar. Essa ameaça, conhecida como “Lemon Duck”, tem uma carga útil de mineração de criptomoedas que rouba recursos do computador para extrair a moeda virtual Monero. O ator emprega vários métodos para se espalhar pela rede, como o envio de arquivos RTF infectados usando e-mail, psexec, WMI e explorações SMB, incluindo as ameaças infames Eternal Blue e SMBGhost que afetam as máquinas Windows 10. Algumas variantes também suportam força bruta RDP. Em ataques recentes que observamos, essa funcionalidade foi omitida. O adversário também usa ferramentas como o Mimikatz, que ajudam o botnet a aumentar a quantidade de sistemas que participam de seu pool de mineração.
O QUE HÁ DE NOVO?
Embora essa ameaça esteja ativa desde pelo menos o final de dezembro de 2018, notamos um aumento em sua atividade no final de agosto de 2020.
COMO FUNCIONOU?
A infecção começa com um script de carregamento do PowerShell, que é copiado de outros sistemas infectados com SMB, e-mail ou drives USB externos. O ator também emprega várias explorações para vulnerabilidades, como SMBGhost e Eternal Blue . O código que explora a vulnerabilidade do Bluekeep também está presente, mas está desabilitado na versão que analisamos.
O botnet tem módulos executáveis que são baixados e acionados pelo módulo principal, que se comunica com o servidor de comando e controle (C2) por HTTP.
O módulo de propagação de e-mail usa linhas de assunto e texto relacionados ao COVID-19, com um anexo infectado enviado usando a automação do Outlook para cada contato no catálogo de endereços do usuário afetado.
E DAÍ?
Os defensores precisam estar constantemente vigilantes e monitorar o comportamento dos sistemas em sua rede para detectar novas ameaças de roubo de recursos, como criptomineradores. Os botnets de mineração de criptomoedas podem ser caros em termos de ciclos de computação roubados e custos de consumo de energia. Embora as organizações precisem se concentrar na proteção de seus ativos mais valiosos, elas não devem ignorar ameaças que não são particularmente direcionadas a sua infraestrutura.
Visão geral do caso técnico
INTRODUÇÃO
Lemon Duck é um botnet com recursos de propagação automatizada. Sua carga útil final entregue é uma variante do software de mineração de criptomoeda Monero XMR. É um dos botnets de mineração mais complexos, com vários truques interessantes na manga. Embora já tenha sido documentado antes, vimos recentemente um ressurgimento no número de solicitações de DNS conectadas a seus servidores de comando e controle e mineração.
Decidimos dar uma olhada mais profunda em sua funcionalidade, com ênfase particular nos módulos anteriormente menos documentados, como o branch do Linux e os módulos C # carregados de forma reflexiva pelo componente principal do PowerShell.
VETORES DE INFECÇÃO
O botnet Lemon Duck tem mais maneiras de se espalhar por uma rede do que a maioria dos malwares que vemos. Durante nossa pesquisa, registramos 12 vetores de infecção independentes, variando de cópia padrão em compartilhamentos SMB a tentativas de usar vulnerabilidades no Redis e no gerenciador de recursos e agendador de tarefas YARN Hadoop.
Vetores de infecção de Lemon Duck
Os pesquisadores do Talos notaram um aumento na quantidade de solicitações de DNS conectadas ao Lemon Duck C2 e aos servidores de mineração no final de agosto de 2020.
Aumento da atividade para t.amynx.com C2, causado pela atividade do Lemon Duck.
As solicitações são distribuídas geograficamente, mas a maioria é originária da Ásia, como é visível no mapa, com os cinco principais países sendo Irã, Egito, Filipinas, Vietnã e Índia.
Distribuição geográfica de solicitações para t.amynx.com conforme visto pela Cisco Umbrella.
Decidimos nos aprofundar em nossa telemetria de endpoint e rapidamente identificamos um dos culpados, um sistema com uma linha de comando LoLBin mshta.exe mudando rapidamente para PowerShell, fazendo referência ao servidor C2 Lemon Duck.
Telemetria de AMP mostrando invocação suspeita de mshta.exe
A chamada de função DownloadString baixa o PowerShell contendo o script com a função ‘bpu’, que posteriormente é chamado para baixar e executar o componente instalador principal do PowerShell. A função bpu é um invólucro para baixar e executar a funcionalidade associada à desabilitação da detecção em tempo real do Windows Defender e à colocação do powershell.exe na lista de processos excluídos da verificação. A função primeiro verifica se o script está sendo executado com privilégios administrativos e, se estiver, a carga útil é baixada e executada usando o cmdlet Invoke-Expression.
Se o script não estiver sendo executado com privilégios administrativos, ele aproveitará os executáveis do sistema existentes para iniciar o próximo estágio. O carregador modifica o valor do registro em HKCU \ Software \ Classes \ ms-settings \ shell \ open \ command ou HKCU \ Software \ Classes \ mscfile \ shell \ open \ command para iniciar a carga do PowerShell para que a carga seja executada indiretamente ao iniciar “ComputerDefaults.exe” (para Windows 10) ou “CompMgmtLauncher.exe” para versões anteriores do Windows, que podem ignorar o UAC .
Carregamento lateral do estilo LoLBin da carga útil do PowerShell como um desvio do UAC.
Este é um bom ponto de partida para análise e recuperação de módulos adicionais. Quase todos os módulos do PowerShell são ofuscados com quatro ou cinco camadas de ofuscação provavelmente geradas pelo módulo Invoke-Ofuscation. Embora sejam relativamente fáceis de remover, eles ainda retardam o processo de análise e tornam a detecção usando assinaturas regulares mais difícil.
MÓDULOS PRINCIPAIS
A maioria da funcionalidade Lemon Duck é entregue como scripts PowerShell, com vários níveis de carregadores que eventualmente instalam uma ou mais cargas úteis de mineração de criptomoeda, o módulo de propagação principal, o módulo de propagação Pyinstaller ou o módulo de propagação de e-mail.
COMPONENTES DO POWERSHELL
O estágio inicial é um downloader simples que primeiro baixa o código que contém a função necessária para baixar e executar o carregador principal conforme descrito acima.
O carregador principal também é simples e realiza várias verificações para o tipo de sistema infectado, o nível de privilégios do usuário e componentes relevantes para a mineração, como o tipo de placa gráfica disponível. Se o nome do cartão contiver uma das seguintes strings, o carregamento baixa e inicia a variante xmrig-cuda para mineração usando a GPU:
- GTX
- NVIDIA
- GEFORCE
- AMD
- RADEON
Caso contrário, o xmrig padrão para mineração baseada em CPU será baixado e executado.
Além da carga útil de mineração, o carregador tentará baixar e lançar outros módulos, incluindo o módulo de propagação principal, o módulo de envio de e-mail, o módulo baseado em Python empacotado usando Pyinstaller e o módulo assassino projetado para desativar botnets de mineração concorrentes conhecidos.
Estágios e módulos de infecção de Lemon Duck.
Antes de baixar e ativar o módulo de envio em massa, o carregador tenta modificar a configuração de segurança do Microsoft Outlook no registro para permitir que o botnet envie emails sem a mensagem de aviso do Outlook. Para isso, vários caminhos de registro são verificados para o valor ObjectModelGuard e o valor é alterado para dword 2, que corresponde à configuração “Nunca me avise sobre atividade suspeita.”
Os caminhos de registro verificados são:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Office \ {OfficeVersionNumber} \ Outlook \ Security
HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Office \ {OfficeVersionNumber} \ Outlook \ Security
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Office \ ClickToRun \ REGISTRY \ MACHINE \ Software \ Microsoft \ Office \ {OfficeVersionNumber} \ Outlook \ Security
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Office \ ClickToRun \ REGISTRY \ MACHINE \ Wow6432Node \ Software \ Microsoft \ Office \ {OfficeVersionNumber} \ Outlook \ Security
Alterar as configurações de segurança do Outlook
O módulo de propagação do PowerShell é um pedaço de código bastante ambicioso que contém inúmeras funções que permitem que o bot se espalhe pela rede. No geral, existem mais de 10.000 linhas de código. O código é parcialmente copiado de vários projetos de código aberto e parcialmente personalizado, o que mostra um nível moderado de habilidades de programação do autor.
O código é uma mistura de código PowerShell e código-fonte C # que é compilado em assemblies baseados em DLL just-in-time e carregado na memória para conveniência e velocidade de execução.
Mimikatz é baixado como mimi.dat na pasta temporária do usuário. O Mimikatz baixado é codificado em DLL com base64, que é então decodificado e executado usando uma variante modificada do módulo Invoke-Mimikatz, com resultados salvos e adicionados à lista de senhas codificadas para SMB, RDP e SSH de força bruta.
Lista inicial de senhas usadas para acesso de força bruta a MSSQL, SSH e SMB.
Além da força bruta de senha, o módulo principal de propagação contém a funcionalidade de propagação usando várias vulnerabilidades. As redes privadas internas são verificadas usando uma lista codificada de sub-redes.
Lista codificada de sub-redes usadas para espalhamento lateral.
A vulnerabilidade Eternal Blue (CVE-2017-0144) foi divulgada em um vazamento do Shadow Brokers há mais de três anos, mas continua sendo um grampo de malware tentando se espalhar lateralmente pelo protocolo SMB. O spreader Lemon Duck contém uma variante do PowerShell do exploit.
A propagação do SSH é impulsionada pela lista de senhas conhecidas para tentar com a adição do componente Plink do cliente Putty SSH. Plink é um cliente SSH de linha de comando programável usado para direcionar servidores SSH baseados em Linux usando o nome de usuário root. O Plink geralmente pode ser detectado como um aplicativo potencialmente indesejado por um software antimalware. Lemon Duck anexa 100 bytes gerados aleatoriamente ao executável do Plink baixado, provavelmente para quebrar as detecções baseadas em checksum criptográfico.
O comando remoto fará o download e iniciará o primeiro estágio do carregador Lemon Duck do script bash para sistemas Linux.
Uma estratégia semelhante é usada para direcionar os sistemas que executam YARN e Redis. Com o YARN, os atores tentam explorar uma vulnerabilidade de 2018 que não tem um número CVE anexado. Se a exploração for bem-sucedida, um script para baixar e iniciar o carregador do Linux é executado.
O Lemon Duck tem como alvo instalações de banco de dados de valor-chave Redis configuradas incorretamente que não exigem uma senha para as conexões. Uma vez conectado com sucesso, o propagador cria um cron job para executar automaticamente o mesmo download do Linux e executar o código para o módulo carregador principal do Linux.
O malware então tenta se conectar a um banco de dados Microsoft SQL usando a lista de senhas candidatas codificadas e recuperadas pelo Mimikatz usando o nome de usuário “sa” (Administrador do sistema). Se o login for bem-sucedido, o servidor de banco de dados será configurado para permitir a execução do procedimento armazenado xp_cmdshell e iniciar o procedimento para baixar e executar o spreader Lemon Duck principal.
Um novo assembly .NET, evilclr, também será adicionado ao servidor de banco de dados junto com um novo procedimento armazenado dbo.execcommand, que é chamado para baixar o carregador Lemon Duck inicial. Esse conjunto recém-adicionado e o procedimento podem permitir que o invasor se conecte ao servidor de banco de dados comprometido, mesmo se ele for reconfigurado para evitar o uso de xp_cmdshell.
Por último, mas não menos importante, o propagador se conecta a sistemas remotos usando a lista de senhas. A conexão é feita primeiro com o sistema usando uma lista de hashes NTLM pré-calculados a partir das senhas disponíveis. Se a conexão for bem-sucedida, o spreader encontrará todos os usuários listando o conteúdo da pasta c: \ users na unidade remota e criará um arquivo batch run.bat no AppData \ Roaming \ Microsoft \ Windows \ Menu Iniciar \ Programas \ Inicialização \ de cada usuário para que o script seja iniciado quando um usuário efetuar login no sistema. O arquivo em lote baixa e executa um script do PowerShell que tenta desabilitar vários produtos antimalware e, em seguida, cria tarefas agendadas para baixar e executar o módulo do carregador principal.
MÓDULO MAILER
O módulo propagador de e-mail é outro script PowerShell que usa COM Automation para automatizar o Microsoft Outlook e enviar uma mensagem de e-mail para cada contato no catálogo de endereços do usuário, bem como todos os endereços de e-mail dos quais o usuário atual recebeu mensagens e todos os endereços de e-mail para os quais o o usuário já enviou mensagens.
Para todos os endereços de e-mail coletados, apenas uma única combinação de assunto do e-mail e o corpo do texto é escolhida. Nota: Todos os erros de ortografia e gramática são intencionais e copiados diretamente dos documentos de infecção.
| Sujeito | Texto |
| A verdade de COVID-19 | O vírus, na verdade, vem dos Estados Unidos da América |
| COVID-19 nCov Informações especiais OMS | informações muito importantes para a Covid-19, consulte o documento anexo para sua ação e discrição. |
| CONSULTOR DE HALTH: CORONA VIRUS | o surto de VÍRUS CORONA é motivo de preocupação, especialmente onde pessoal estrangeiro chegou recentemente ou chegará a várias intt no futuro próximo. Consulte o documento anexo para sua ação e discrição. |
| WTF | o que há de errado com você? você está louco !!!!! |
| Que merda | você está louco !!!!! o que há de errado com você? |
| Tchau | tchau mantenha contato |
| carta de despedida | tchau mantenha contato |
| arquivo quebrado | você pode me ajudar a consertar o arquivo, não consigo ler |
| Este é o seu pedido? | arquivo está quebrado, não consigo abri-lo |
As mensagens de e-mail geradas terão dois anexos. O primeiro é um documento RTF com o nome readme.doc que explora a vulnerabilidade de execução remota de código no Microsoft Office, CVE-2017-8570 , e o segundo é o arquivo readme.zip. Readme.zip contém um JScript que baixa e executa o carregador Lemon Duck de primeiro estágio.
Um exemplo de mensagem de e-mail gerada pelo Lemon Duck.
Como outros módulos Lemon Duck, também podemos ver o uso do código C # incorporado compilado e carregado em tempo real pelo msbuild.exe. O código no módulo propagador de email é usado apenas se o mailer estiver sendo executado com privilégios administrativos. O módulo contém a funcionalidade para enumerar as sessões dos Serviços de Terminal do Windows e representar o usuário que está executando a sessão.
Esta funcionalidade é provavelmente implementada caso o sistema afetado seja um servidor RDP. Para cada sessão, um pipe de escuta chamado “\\. \ Pipe \ HHyeuqi7” é criado. Seu código do lado do servidor chama o cmdlet PowerShell Invoke-Expression para a string fornecida enviada pelo cliente de pipe nomeado, que é o código completo do mailer para automatizar o Outlook.
MÓDULO DE MATADOR DE COMPETIÇÃO
O módulo killer é baixado pelo Lemon Duck Loader principal como kr.bin. Ele contém uma lista de nomes de serviços e nomes de processos a serem encerrados, bem como uma lista de nomes de tarefas agendadas a serem excluídos.
Uma lista codificada de nomes de serviço é usada para impedir os mineradores de criptomoeda concorrentes.
O assassino também garante que não encerre nenhum processo conectado a qualquer um dos endereços IP usados para mineração por Lemon Duck e outros mineradores de criptomoeda associados. Antes de verificar possíveis proxies de mineração, o módulo killer primeiro baixa uma variante limpa do executável OpenSSL e o usa como uma ferramenta para conexão por TLS.
CONTA-GOTAS EXECUTÁVEL
Identificamos uma versão mais antiga do conta-gotas executável Lemon Duck, desenvolvida com o framework .NET. O módulo de difusão principal é armazenado como um recurso no arquivo executável, colocado no disco rígido e carregado como um script do PowerShell vip.ps1.
O script é ofuscado com Invoke-Obfuscation como todos os outros módulos, mas também é criptografado 100 vezes usando AES. Claro, isso é feito para tornar a análise mais difícil, em vez de proteger o conteúdo malicioso. A chave de descriptografia da camada é armazenada em uma variável nomeada aleatoriamente, enquanto a próxima camada é armazenada como um DeflateStream codificado em Base64 atribuído a outra variável nomeada aleatoriamente.
Remover 100 camadas de criptografia quando as chaves de descriptografia estão disponíveis em cada camada é apenas uma questão de escrever um script que automatiza a tarefa de descriptografia até o ponto em que não há camadas de descriptografia adicionais.
Uma das cem camadas de descriptografia AES.
PYTHON EXECUTÁVEL PYINSTALLER
O módulo Python é baixado pelo carregador principal e sua funcionalidade é semelhante ao módulo principal de propagação. O executável é criado com o Pyinstaller, que empacota uma distribuição Python incluindo todos os binários necessários, módulos Python compilados no código Python e componentes definidos pelo usuário.
O principal componente Python do Lemon Duck contém a funcionalidade de se espalhar na rede local, tentando explorar a vulnerabilidade Eternal Blue e copiando o executável Pyinstaller para o sistema de destino. O código Python cria uma tarefa agendada no sistema remoto para iniciar o executável copiado no agendamento.
O shellcode usado em exploits SMB com distribuidores Python e PowerShell é o mesmo shellcode que tenta baixar e executar o carregador Lemon Duck inicial de hxxp: // t [.] Amynx [.] Com / gim [.] Jsp e para alterar a senha do administrador para “k8d3j9SjfS7.”
Detalhe da string do código do shell de exploração SMB – baixe e execute o carregador inicial do PowerShell.
O propagador Python também tenta se conectar ao compartilhamento IPC dos computadores em redes locais com uma combinação de senhas codificadas com as credenciais recuperadas executando uma cópia incorporada do Mimikatz, descartada e iniciada usando PowerShell.
Mimikatz recarregado pelo propagador Python com resultados salvos em mkatz.ini.
Funcionalidades adicionais incluem o código de difusão de banco de dados Microsoft SQL, que é uma implementação Python do código descrito acima na seção de difusão principal do PowerShell. O script tenta adicionar um novo conjunto .NET evilclr ao sistema de banco de dados para permitir que o invasor execute comandos remotamente por meio de um procedimento armazenado recentemente.
MÓDULOS LINUX
Os scripts do bash Lemon Duck são executados após um comprometimento bem-sucedido de um host Linux por meio do Redis, YARN ou SSH. Existem dois scripts bash principais. O primeiro coleta algumas informações sobre o host infectado e tenta baixar uma versão do Linux do XMRig miner para iniciá-lo para se conectar ao lplp [.] Ackng [.] Com: 444. Por fim, ele tenta excluir vários logs do sistema.
Solicitações de DNS para o servidor de mineração Lemon Duck Linux lplp [.] Ackng [.] Com.
O outro script é mais complexo, com o foco em encerrar e remover mineradores de criptomoedas concorrentes já presentes no sistema. O script tenta encontrar processos com conexões a hosts de mineração conhecidos, processos com nomes de processos de mineração conhecidos e arquivos associados a esses processos.
O script também tenta encerrar e desinstalar processos relacionados aos agentes de segurança em nuvem Alibaba e Tencent. O script parece ser compartilhado entre vários botnets de criptominação baseados em Linux.
RUNTIME COMPILADO ASSEMBLIES C # COMPILADOS
Lemon Duck faz um uso extensivo de módulos C # que são compilados e executados pelo bot conforme necessário. Alguns dos módulos são retirados dos repositórios de código aberto, enquanto alguns, como o módulo para propagação em dispositivos de armazenamento USB externos e o módulo para enumeração de Serviços de Terminal do Windows e representação de usuário parecem ser programados especificamente para Lemon Duck.
Os componentes C # são:
- Verificador de vulnerabilidade Ping Castle Eternal Blue usado no propagador do PowerShell.
- RDP Brute forcer com senhas, não usado nesta variante, caso contrário, no PowerShell spreader.
- Implementação de LZNT1, provavelmente tirada do código-fonte público LZNT1.
- Spreader USB, com criação de arquivos .lnk usados com um exploit CVE-2017-8464 .
- Wrapper BCrypt para hashing de senha – usado no propagador do PowerShell.
- WTSEnumerateSessions, usado no módulo de correio do PowerShell para automação do Outlook nos serviços de Área de Trabalho Remota do Windows.
SPREADER USB
O propagador de USB descarta uma variante de 32 ou 64 bits de uma DLL maliciosa, um arquivo .LNK associado com o exploit CVE-2017-8464 que inicia a DLL sem interação do usuário em sistemas vulneráveis.
O módulo também cria um arquivo readme.js cujo conteúdo é idêntico ao arquivo readme.js que é espalhado pelo módulo de propagação de e-mail.
O propagador USB enumera todas as unidades removíveis e de rede e tenta infectá-las. Se a infecção for bem-sucedida, um arquivo inf_data será criado para evitar futuras reinfecções com o mesmo mecanismo.
As DLLs maliciosas criam um mutex denominado “MGYnGYPf” usado para garantir que apenas uma única cópia seja executada na memória. Depois de criar o mutex, o código DLL inicia runDLL32.exe e injeta o código em seu espaço de processo.
O contexto inicial do thread é então alterado para que o shellcode seja executado quando o thread continuar sua execução. A funcionalidade do código do shell é baixar e executar o primeiro estágio do PowerShell Loader usando mshta.exe da mesma maneira como visto em nossa entrada de telemetria inicial. Isso indica que a fonte de infecção provavelmente foi uma unidade removível.
Fragmento de código de shell de DLL USB para baixar o carregador inicial usando mshta.exe.
ORIGENS DO CÓDIGO LEMON DUCK
Lemon Duck é uma combinação do código retirado dos projetos de código aberto e o código criado especificamente para o botnet. Ao combinar os dois, o autor mostra um nível moderado de habilidades técnicas e compreensão dos problemas de segurança no Windows e em vários protocolos de rede. Essa abordagem produz um código que é mais difícil de manter, mas os objetivos podem ser alcançados muito rapidamente.
A lista de códigos de projetos do PowerShell de código aberto incluída no Lemon Duck inclui:
- Invoke-TheHash de Kevin Robertson
- Porta Invoke-EternalBlue PowerShell EternalBlue
- Exploração do BlueKeep RCE ( CVE-2019-0708 ) Porta do PowerShell
- Carregador reflexivo Powersploit de Matt Graeber
- Módulo Invoke-Mimikatz PowerShell modificado
CARGAS ÚTEIS
Seja considerando os ramos do Linux ou do Windows do botnet Lemon Duck, o objetivo final é o mesmo, que é extrair Monero usando um Linux ou uma variante do Windows do minerador XMRig. Estamos apenas mencionando as cargas úteis para fins de completude da análise.
ATIVIDADE OBSERVADA E SOBREPOSIÇÃO COM OUTRAS REDES DE BOTS DE MINERAÇÃO DE CRIPTOGRAFIA
Cisco Talos identificou atividade em nossa telemetria de endpoint associada com malware de mineração de criptomoeda Lemon Duck afetando três empresas diferentes nos setores de governo, varejo e tecnologia. Observamos a atividade desde o final de março de 2020 até o presente.
No decorrer de nossa pesquisa, identificamos várias sobreposições entre Lemon Duck e outro malware de mineração de criptomoeda apelidado de Beapy (também conhecido como Pcastle). De acordo com a Cisco Umbrella, awcna [.] Com foi registrado com o endereço de e-mail robertcooper1983 [@] protonmail [.] Com, que também registrou apenas um outro domínio, bddp [.] Net, uma parte da infraestrutura alavancada por Beapy visando o Leste da Ásia em junho de 2019.
A maioria dos módulos Lemon Duck faz solicitações HTTP GET para URLs para um subdomínio ackng [.] Com, o que também foi observado na infraestrutura Beapy. Com base na análise de malware anterior da Talos, Lemon Duck exibe métodos de propagação semelhantes ao Beapy.
Continuaremos monitorando nossos dados para atividades adicionais que apontam para semelhanças entre esses botnets. Nossos resultados também sugerem várias outras semelhanças em infraestrutura e comportamento, nomeadamente entre Beapy, DLTMiner e MyKings. Essas campanhas compartilham táticas, técnicas e procedimentos (TTPs) semelhantes, tornando difícil distingui-los.
A atividade do Lemon Duck que registramos é consistente com um aumento geral nos mineradores de criptomoedas observado pelo Talos nos últimos meses, incluindo um ressurgimento no PowerGhost,Prometei e Tor2Mine .
Cobertura
As maneiras como nossos clientes podem detectar e bloquear essa ameaça estão listadas abaixo.
A Proteção Avançada contra Malware ( AMP ) é ideal para impedir a execução do malware usado por esses agentes de ameaças. O Exploit Prevention presente no AMP foi projetado para proteger automaticamente os clientes de ataques desconhecidos como este.
A varredura da Web do Cisco Cloud Web Security ( CWS ) ou do Web Security Appliance (WSA ) evita o acesso a sites maliciosos e detecta o malware usado nesses ataques. O Email Security pode bloquear emails maliciosos enviados por agentes de ameaças como parte de sua campanha. Dispositivos de segurança de rede, como Firewall de última geração ( NGFW ), Sistema de prevenção de intrusões de última geração ( NGIPS ), Cisco ISR e
A Meraki MX pode detectar atividades maliciosas associadas a esta ameaça.
O AMP Threat Grid ajuda a identificar binários maliciosos e criar proteção em todos os produtos Cisco Security.
Umbrella , nosso gateway seguro de Internet (SIG), bloqueia a conexão de usuários a domínios, IPs e URLs maliciosos, estejam eles dentro ou fora da rede corporativa.
Os clientes do Conjunto de regras para assinantes do Snort de código aberto podem se manter atualizados baixando o pacote de regras mais recente disponível para compra no Snort.org .
OSQUERY
Os usuários do Cisco AMP podem usar o Orbital Advanced Search para executar consultas de sistemas operacionais complexas e ver se seus terminais estão infectados com essa ameaça específica. Para consultas de SO específicas sobre esta ameaça, clique abaixo:
Lemon Duck OSQuery
SNORT
[SID] 55926-55928
IOCs
AMOSTRAS DO WINDOWS
605ac25ebe8ab41ba291b467281e4f361e87df26fb0085636060d4972725958d – 32 bits Dll
e783b5235868d8f32f8656218f89ee24138a52e13d91ab5d5950cce1fa25f673 – DLL 64 bits
df154c314609c61ab33eea7f5d3d959fe3dacee35c8575741e96dfe27b2bd55e – anteriormente executável .NET conta-gotas
e72b656b15dca5b2dde4784bb113ca7c9768eeb731264fe10d057fc7909ef9c4 – xmrig-CUDA
38ffc65ba9896583ba8c8f98dd36c0b391ee590e2011be7f715351965b7bed8c – evilclr módulo
5dd1c44610d038e0e8e3f572964f4be09ee3e7718d73bcd4c8684c3efea8ff2b – Ink explorar
aea17e712d9a25e37d0ce3af6adff733e89edd6416b5c4a6a9b95dd5faf13612 – RTF explorar (readme.doc)
27040edd4917b6963f89d1d80073d20713dcea439a5b0f9a0cdaca655c1b4322 – versão anterior do principal espalhador PowerShell
1d6153f93539fbc7bdd2389120c9f8967197ea81fffaf3df28417bdf2fe1252b – principal Powershell espalhador
5beb8128b269067186c5ce002423e1de33fd52986bf0696d5664ac278eae1993 – assassino módulo
80eb16604550f9a115470acfa300b95d62ae856245666637afa00f8fb9e4808d – módulo de discussão
d7d0f18071899c81ee90a7f8b266bd2cf22e988da7d0e991213f5fb4c8864e77 – Pyinstaller módulo
b660aa7aca644ba880fdee75f0f98b2db3b9b55978cc47a26b3f42e7d0869fff – Powershell mineiro conta-gotas
ce4ba5d544e566a4a83b5edd7e42e6783c2b03187f834913cdd185b3d453fb10 – Mimikatz
27e94c3f27539d0ed5c5267914860ff97a438acd1ace560e0a746a6d04b39718 – readme.js Javascript
LINUX (BASH E ELF)
9e0c65e28bf2539966364468a5fba8bf8bbcbc76b84aa37348b3bad19047c73a – xmrig
7850f7ccba97d37bb89447f04dac93757b96d7270d1ee9797c12034f22363038 – roteiro assassino Linux
7de4497ed46e9e96f66ad0135c018d006a85bbd0c0202da6f0f1bd2030932a30 – Linux downloader mineiro
HOSTNAMES
t [.] amynx [.] com
t [.] zer9g [.] com
p [.] b69kq [.] com
lplp [.] ackng [.] com
d [.] ackng [.] com
w [.] zz3r0 [.] com
info [.] amynx [.] com
info [.] ackng [.] com
info [.] zz3r0 [.] com
t [.] jdjdcjq [.] top
p [.] awcna [.] com
t [.] zer2 [.] com
t [.] tr2q [.] com
ENDEREÇOS IP
172 [.] 104 [.] 7 [.] 85
66 [.] 42 [.] 43 [.] 37
207 [.] 154 [.] 225 [.] 82
161 [.] 35 [.] 107 [. ] 193
167 [.] 99 [.] 154 [.] 202
139 [.] 162 [.] 80 [.] 221
128 [.] 199 [.] 183 [.] 160
128 [.] 199 [.] 188 [.] 255
167 [.] 71 [.] 158 [.] 207
Fonte: https://blog.talosintelligence.com/2020/10/lemon-duck-brings-cryptocurrency-miners.html
