Вредоносное ПО для майнинга криптовалюты Lemon_Duck было обновлено разработчиками и теперь может компрометировать компьютеры под управления Linux.
Lemon_Duck – вредоносная программа для криптомайнинга, которая была обнаружена в 2019 г. компанией Trend Micro и изучена специалистами SentinelOne. Вредонос известен своей нацеленностью на корпоративные сети организаций. Доступ к внутренним сетям он получает через службу MS SQL с использованием атак грубой силы или протокола SMB с применением EternalBlue.
После успешного заражения устройства вредоносное ПО сбрасывает полезную нагрузку процессора на софт XMRig Monero (XMR), который использует ресурсы скомпрометированной системы для добычи криптовалюты для операторов Lemon_Duck.
Чтобы найти устройства Linux, которые можно заразить, применяя атаку методом перебора SSH, Lemon_Duck использует модуль сканирования портов, который ищет подключенные к интернету системы Linux, прослушивающие порт TCP 22, используемые для удаленного входа в систему по SSH.
Специалист по информационной безопасности Sophos Раджеш Натарадж отметил: «Когда Lemon_Duck их находит, вредонос запускает SSH-атаку методом перебора с использованием имени пользователя root и закодированного списка паролей».
Затем Lemon_Duck ищет другие устройства Linux, на которые можно сбросить полезную нагрузку, собирая учетные данные для аутентификации SSH из файла /.ssh/known_hosts. Еще более интересен тот факт, что Lemon_Duck ищет и удаляет другие криптомайнеры на скомпрометированных устройствах Linux.
Недавно операторы Lemon_Duck также добавили модуль, который эксплуатирует уязвимость Windows SMBv3 Client / Server RCE с возможностью предварительной авторизации SMBGhost (CVE-2020-0796). Но вместо того, чтобы использовать эту уязвимость безопасности в системах для запуска произвольного кода, киберпреступники применяют этот модуль для сбора данных о скомпрометированных устройствах.
После развертывания майнера XMRig на скомпрометированных устройствах вредоносная программа Lemon_Duck также попытается отключить сжатие SMBv3 и заблокировать 445 и 135 SMB-порты, чтобы другие не могли использовать зараженные SMBGhost-уязвимые системы.
