Lemon Duck: l’activité du botnet de crypto-minage a explosé

Les chercheurs mettent en garde contre une récente augmentation spectaculaire de l’activité du botnet d’extraction de crypto-monnaie Lemon Duck, qui cible les ressources informatiques des victimes pour exploiter la monnaie virtuelle Monero.

Les chercheurs préviennent que Lemon Duck est «l’un des botnets de crypto-minage les plus complexes», avec plusieurs tours intéressants dans sa manche. Alors que le botnet est actif depuis au moins fin Décembre 2018, les chercheurs ont observé une augmentation des requêtes DNS liées à ses serveurs de commande et de contrôle (C2) et de minage depuis la fin du mois d’août, dans une série d’attaques centrées sur l’Asie (ciblant l’Iran, l’Égypte, les Philippines, le Vietnam et l’Inde).

«Cisco Talos a identifié une activité dans notre télémétrie de point de terminaison associée au malware d’extraction de crypto-monnaie Lemon Duck, affectant trois sociétés différentes dans les secteurs du gouvernement, du commerce de détail et de la technologie», ont déclaré des chercheurs de Cisco Talos. «Nous avons observé une activité de fin mars 2020 jusqu’à aujourd’hui.»

Des attaques plus récentes ont inclus des modules moins documentés qui sont chargés par le composant principal PowerShell – y compris une branche Linux et un module permettant une propagation plus poussée en envoyant des e-mails aux victimes utilisant le thème du COVID-19.

Lemon Duck

Lemon Duck a au moins 12 vecteurs d’infection indépendants – plus que la plupart des logiciels malveillants. Ces capacités vont du forçage brutal des mots de passe de Server Message Block (SMB) et du protocole RDP (Remote Desktop Protocol), à l’envoi d’e-mails avec des pièces jointes d’exploitation ou au ciblage de la faille RDP BlueKeep (CVE-2019-0708) sur les machines Windows; ou le ciblage des vulnérabilités dans Redis (un magasin de structures de données en mémoire open source utilisé comme base de données, cache et courtier de messages) et YARN Hadoop (une technologie de gestion des ressources et de planification des tâches) sur les machines Linux.

lemon duck

Après l’infection initiale, un script de chargement PowerShell est téléchargé, qui utilise la fonction «bpu» pour désactiver la détection en temps réel de Windows Defender et placer powershell.exe sur la liste des processus exclus de l’analyse.

«Bpu» vérifie également si le script s’exécute avec des privilèges administratifs. Si tel est le cas, la charge utile est téléchargée et exécutée à l’aide du cmdlet Invoke-Expression (une fonction qui peut être utilisée pour appeler du code dans un script ou créer des commandes à exécuter ultérieurement). Sinon, il exploite les exécutables système existants pour lancer l’étape suivante.

«C’est un bon point de départ pour l’analyse et la récupération de modules supplémentaires», ont déclaré les chercheurs. «Presque tous les modules PowerShell sont obscurcis avec quatre ou cinq couches d’obfuscation, probablement générées par le module Invoke-Obfuscation. Bien qu’ils soient relativement faciles à supprimer, ils ralentissent toujours le processus d’analyse et rendent la détection à l’aide de signatures régulières plus difficile. »

Ces modules exécutables, qui sont téléchargés et pilotés par le module principal, communiquent avec le serveur C2 via HTTP.

Fonctionnalités modulaires de Lemon Duck

Les modules de Lemon Duck incluent un chargeur principal, qui vérifie le niveau de privilèges utilisateur et les composants pertinents pour l’exploitation minière, tels que le type de carte graphique disponible (y compris GTX, Nvidia, GeForce, AMD et Radeon). Si ces GPU ne sont pas détectés, le chargeur télécharge et exécute le script d’extraction basé sur XMRig.

Les autres modules de Lemon Duck incluent un module de diffusion principal (avec ce que les chercheurs disent inclure «un morceau de code plutôt ambitieux» contenant plus de 10 000 lignes de codage), un module basé sur Python empaqueté à l’aide de Pyinstaller et un module tueur conçu pour désactiver les botnets de minage concurrents connus.

Lemon Duck contient également un module de diffusion d’e-mails. Ces e-mails se diffusent en utilisant un mélange de lignes d’objet et de texte liés au COVID-19, ainsi que d’autres leurres axés sur les émotions (comme un objet d’e-mail “WTF” avec le texte “Qu’est-ce qui ne va pas avec vous? Êtes-vous fou!!!!!!! »). Ces e-mails contiennent des pièces jointes infectées envoyées à l’aide de l’automatisation Outlook à chaque contact du carnet d’adresses de l’utilisateur concerné.

Lemon Duck

Une version Linux pour Lemon Duck

Les chercheurs ont également mis en lumière une version Linux moins documentée du malware Lemon Duck. Ces scripts bash Lemon Duck sont exécutés après que l’attaquant ait réussi à compromettre un hôte Linux (via Redis, YARN ou SSH). Il existe deux principaux scripts bash, ont déclaré les chercheurs: le premier collecte des données sur l’hôte infecté et tente de télécharger une version Linux du mineur XMRig, avant de tenter de supprimer divers journaux système. La seconde tente de mettre fin aux mineurs de crypto-monnaie concurrents déjà présents sur le système et de les supprimer.

«Le script tente également de mettre fin aux processus liés aux sécurité cloud Alibaba et Tencent et de les désinstaller. Le script semble être partagé entre plusieurs botnets de crypto-minage basés sur Linux », ont déclaré des chercheurs.

Lemon Duck avait déjà été repéré en 2020 dans le cadre d’une campagne ciblant les imprimantes, les téléviseurs intelligents et les véhicules à guidage automatique qui dépendent de Windows 7. Les chercheurs ont averti en Février que les efforts de minage intensifs pèsent sur les équipements et provoquent des dysfonctionnements de l’équipement ainsi que l’exposition des appareils aux problèmes de sécurité, la perturbation des chaînes d’approvisionnement et à la perte de données.

Il est possible d’étouffer la menace des attaques de crypto-monnaie en surveillant le comportement du système pour repérer toute menace qui consomme des ressources.

«Les botnets d’extraction de crypto-monnaie peuvent être coûteux en termes de cycles de calcul volés et de coûts de consommation d’énergie», ont-ils déclaré. «Bien que les organisations doivent se concentrer sur la protection de leurs actifs les plus précieux, elles ne doivent pas ignorer les menaces qui ne ciblent pas particulièrement leur infrastructure.»

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x