Cisco Talos最近检测到与加密货币挖掘僵尸网络Lemon Duck相关的活动较为频繁,本次攻击行动主要针对政府、零售与科技等行业。
攻击者使用各种技术进行恶意软件的传播,比如通过使用电子邮件、psexec、WMI、SMB 漏洞或者发送恶意RTF文件等。此外,攻击者还大量利用包括臭名昭著的Eternal Blue和SMBGhost漏洞,这些漏洞广泛影响 Windows计算机。还有一些变种带有RDP暴力破解功能,包括使用 Mimikatz等开源工具。
Lemon Duck
Lemon Duck 是一个可自传播的僵尸网络,主要目的是挖掘门罗币,使用的矿机是 XMR 的修改版。
Lemon Duck 是最复杂的挖矿僵尸网络之一,会使用各种不同的方法和技术来掩盖恶意操作行为。
根据思科的分析报告,Lemon Duck 最近又恢复了活跃状态。
更新
自从2018年12月出现以来,Lemon Duck一直保持着更新与活跃。2020年8月底,Lemon Duck的活动明显增加了。
感染载体
思科分析确认了12种独立的感染载体,包括通过SMB共享、Redis漏洞等方式。
Lemon Duck 用于采矿的 GPU
-
GTX
-
NVIDIA
-
GEFORCE
-
AMD
-
RADEON
模块化加载
Lemon Duck的主程序会检查用户权限以及相关环境信息,比如显卡的类型等。如果未能发现GPU则执行XMRig的CPU模式进行挖矿。
此外Lemon Duck还使用了传播模块、使用Pyinstaller打包的Python模块、破坏其他竞争对手的模块等。
开源项目
Lemon Duck广泛使用了大量的开源PowerShell项目来实现自己的功能。
Invoke-TheHash by Kevin Robertson
Invoke-EternalBlue PowerShell EternalBlue port
BlueKeep RCE exploit (CVE- 2019-0708) PowerShell port
Powersploit’s reflective loader by Matt Graeber
Modified Invoke-Mimikatz PowerShell module
IOC
t[.]amynx[.]com
t[.]zer9g[.]com
p[.]b69kq[.]com
lplp[.]ackng[.]com
d[.]ackng[.]com
w[.]zz3r0[.]com
info[.]amynx[.]com
info[.]ackng[.]com
info[.]zz3r0[.]com
t[.]jdjdcjq[.]top
p[.]awcna[.]com
t[.]zer2[.]com
t[.]tr2q[.]com172[.]104[.]7[.]85
66[.]42[.]43[.]37
207[.]154[.]225[.]82
161[.]35[.]107[.]193
167[.]99[.]154[.]202
139[.]162[.]80[.]221
128[.]199[.]183[.]160
128[.]199[.]188[.]255
167[.]71[.]158[.]207
参考来源
GBHackers
TalosIntelligence
精彩推荐
本文始发于微信公众号(FreeBuf):Lemon Duck复苏,重点瞄准政府与零售
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论