The Record: Зловред LemonDuck эволюционирует!

Честно говоря, переметнувшись в стан Linux, я немного расслабился и почти перестал следить за всей этой кибер-движухой. Но беда пришла, откуда не ждали: по сообщениям Microsoft, майнер LemonDuck научился атаковать и компьютеры под управлением GNU/Linux. Интересно, что там у BSD?

Зловред LemonDuck эволюционирует и ищет новые способы заражения

Некогда крошечный зловред для скрытого майнинга криптовалюты за последние два года превратился в масштабную бот-сеть и начал экспериментировать с новыми способами заражения. И столь быстрый скачок не может не вызывать опасений, ведь такими темпами совсем скоро LemonDuck может превратиться в программу-вымогатель или что-то пострашнее. Впервые ботнет LemonDuck был обнаружен израильской фирмой Guardicore ещё в первой половине 2019 г.

У Guardicore появилась новая традиция: мы находим атаки и делимся с вами подробностями, а вы изучаете их и учитесь чему-то новому. Сегодня нам бы хотелось познакомить вас с LemonDuck, майнером криптовалюты, использующим ряд довольно сложных инструментов.
— Ophir Harpaz, 3 июля, 2019

Изначально заражение проходило по довольно распространённому и простому сценарию – через электронную почту (случайная жертва по-старинке получала получала письмо с заражённым файлом), да и первые версии LemonDuck по своему устройству были довольно простыми: попадая на случайный компьютер, они сперва отключали антивирус и другое защитное ПО, затем расползались по локальной сети, а потом начинали скрытый майнинг криптовалюты Monero.

Многим злоумышленникам с лихвой хватило бы и этих доходов, но разработчикам LemonDuck хотелось большего. За последние два года сеть LemonDuck претерпела поразительные изменения: она существенно расширилась, приобрела ряд совершенно новых функций и даже научилась заражать компьютеры через всемирную паутину.

Теперь для атак на незащищённые серверы LemonDuck использует как грубую силу (банальный перебор паролей), так и многочисленные эксплойты. Атакам уже подверглись почтовые серверы Microsoft Exchange, базы данных SQL, серверы Hadoop и Redis, а также системы SMB и RDP.

LemonDuck растёт гораздо быстрее своих конкурентов. Причём заражению подвержены не только компьютеры под управлением Windows, но и системы на Linux. Кроме того, LemonDuck начал активную борьбу с конкурентами: теперь, попадая на уже заражённый компьютер, зловред удаляет чужой софт, а затем пытается укорениться в локальной сети.

Всё настолько плохо, что внимание на происходящее обратили даже в Microsoft: несколько дней назад сотрудники компании опубликовали несколько заметок, в которых подробно рассказали об обновлённом функционале LemonDuck.

Алгоритм атаки LemonDuck. Источник: Microsoft

Когда-то LemonDuck уже попадал в поле зрения Cisco Talos и Sophos, но Microsoft обращают внимание именно на эволюцию вредоносного ПО: есть основания полагать, что злоумышленники начали экспериментировать с новыми способами заражения.

«Hands-on-Keyboard» – относительно новый термин: злоумышленники отказываются от использования автоматических скриптов и вручную входят в заражённую систему, после чего также вручную могут выполнить нужные им команды. Добавляя подобный функционал, злоумышленники стремятся получить расширенный доступ к внутренней сети жертвы: компьютер думает, что команды вводит сам пользователь, отсюда и название – «руки на клавиатуре». Раньше подобные атаки были связаны в основном с атаками на госструктуры или серьёзными преступными группами.

«В 2019 г., когда мы впервые обнаружили LemonDuck, это был классический зловред-майнер, – объяснил нам Офир Харпаз, аналитик из Guardicore. Именно он впервые наткнулся на следы активности LemonDuck. – Не было и намёка на то, что в скором времени он научится вводить команды «вручную». Но уже тогда было ясно, что разработчики LemonDuck серьёзно относятся к своему детищу: их скрипты PowerShell были гораздо сложнее и запутаннее, чем у большинства их предшественников, а для заражения они широко использовали различные инструменты с открытым исходным кодом. Многие аспекты, которые Microsoft по ошибке называет новыми, на самом деле присутствовали в коде LemonDuck с самого начала: кража учётных данных, отключение антивирусов и другого защитного софта, распространение по внутренней сети – всё это было уже тогда».

Глобальная активность LemonDuck. Источник: Microsoft

«Разработчики LemonDuck отличаются настойчивостью. Причём речь идёт даже не о том, насколько глубоко их софт укореняется на заражённых машинах, а о самой структуре заражённой сети, – объясняют в Guardicore. – Они начали в марте с 2019 г., и с тех пор ни разу не останавливались. Не было и месяца, когда бы мы не зарегистрировали ни одной новой атаки LemonDuck. Для проведения настолько частых и настолько последовательных атак злоумышленники должны постоянно наращивать силы. Неудивительно, что спустя два года LemonDuck превратился в настолько агрессивный зловред со столь широчайшим функционалом и инфраструктурой».

LemonDuck – это не вымогатель (пока)

Даже при столь широком распространении у нас пока нет данных о том, что разработчики LemonDuck занимаются вымогательством. Основная их цель – незаконный майнинг криптовалют на чужих компьютерах. Однако по сообщениям Microsoft, команда LemonDuck уже начали распространять по заражённым сетям и другое вредоносное ПО из семейства Ramnit. 

Со временем LemonDuck может превратится в сервис по заражению ничего не подозревающих пользователей, и, если это случится, его разработчики получат дополнительное финансирование от других киберпреступников. Возможность вводить команды вручную позволяет проводить и более серьёзные атаки: промышленный шпионаж, мошенничество, вымогательство и т. д. А пока этого не случилось, специалистам по кибербезопасности стоит пересмотреть способы обнаружения LemonDuck, иначе обновлённая версия вредоносного ПО снова застанет нас всех врасплох.

Каталин Чимпану,
The Record
3 августа 2021 г.

Comment

Vivaldi