Le malware Lemon Duck cible les fabricants d’appareils IoT

Une nouvelle campagne d’infection du malware Lemon Duck cible les fabricants d’appareils IoT qui utilisent encore Windows 7 pour gérer leur fabrication.

Les imprimantes, les téléviseurs intelligents et les véhicules guidés- automatisés qui dépendent de Windows 7 sont devenus les dernières cibles juteuses pour des cybercriminels utilisant une variante «auto-répandue» du malware Lemon Duck. Dans un rapport publié mercredi par TrapX Security, les chercheurs ont avertis les fabricants qui sont les cibles d’une nouvelle campagne mondiale tirant parti de la nouvelle variante du malware.

Les criminels derrière cette nouvelle vague d’attaques choisissent les équipements IoT dans l’espoir de les enrôler dans une «armée d’esclaves» d’appareils de crypto-extraction concentrés sur la génération de monnaie digitale Monero via l’outil de minage XMRig. Les chercheurs ont signalé que les efforts d’extraction intensifs des processeurs font des ravages et déclenchent des dysfonctionnements de l’équipement, tout en exposant les appareils à des problèmes de sécurité, à des perturbations de chaînes d’approvisionnement et à des pertes de données.

Pas la première fois que Lemon Duck est aperçu

La campagne est similaire à une campagne Lemon Duck repérée en octobre 2019, mais dans cette campagne, le malware était utilisé pour cibler intentionnellement et nuire aux grands fabricants, ont déclaré les chercheurs.

Le rapport de 26 pages de TrapX Research Labs cite un certain nombre d’attaques datant de 2019 contre trois grands fabricants mondiaux. Le point commun est l’utilisation du logiciel malveillant Lemon Duck et la présence de Windows 7 dans leurs systèmes intégrés ou associés. Windows 7, qui, selon TrapX, est toujours utilisé par 200 millions d’appareils dans le monde, ne reçoit plus de mises à jour de sécurité de Microsoft depuis le 14 janvier 2020.

windows 7 lemon duck

Dans chacune des études de cas décrites par les chercheurs, les faiblesses de Windows 7 ont été utilisées par les adversaires comme point d’entrée. Ce qui a été exploité était les failles de sécurité non corrigées liées au protocol Server Message Block (SMB) de Microsoft qui sont exploitées par les exploits EternalBlue. En outre, les chercheurs ont déclaré que les pirates informatique avaient lancé des attaques par injection SQL contre les vulnérabilités de l’application de base de données MySQL.

“L’échantillon de malware intercepté et analysé par TrapX fait partie de la famille Lemon Duck et qui fonctionne en double-cliquant ou via des mécanismes de persistance”, ont écrit les chercheurs. «Premièrement, le malware a analysé le réseau à la recherche de cibles potentielles, y compris celles avec les services SMB ([port] 445) ou MSSQL ([port] 1433) ouverts. Une fois qu’il a trouvé une cible potentielle, le logiciel malveillant a exécuté plusieurs threads avec plusieurs fonctionnalités. »

L’une de ces fonctions lance des attaques de force brute sur les mots de passe pour casser des services ouverts afin de télécharger et de diffuser des logiciels malveillants via SMB ou MSSQL. Une autre fonction consiste à «exécuter invoke-mimikatz via le module d’importation pour obtenir des hachages NTLM et obtenir un accès pour ensuite télécharger et propager des logiciels malveillants via SMB».

Les chercheurs ont déclaré que le malware Lemon Duck persistait sur les systèmes infectés via des tâches planifiées. Ces tâches contiennent des scripts PowerShell qui appellent des scripts Lemon Duck PowerShell supplémentaires et installent ensuite les mineurs Monero (XMRig).

C’est pour une bonne raison que les pirates informatique se sont concentrés sur les machines Windows 7. Les chercheurs ont déclaré que les attaques contre les machines Windows 10 ont toujours été contrecarrées par les défenses de base.

«Le malware serait mis en quarantaine sur Windows 10 grâce à la protection contre les virus et les menaces de Windows Defender, même si le malware se copiait avec succès sur le système», ont déclaré les chercheurs. “En revanche, le logiciel malveillant est resté et a fonctionné sur un système Windows 7 infecté même avec Windows Defender activé.”

La mitigation conseillée par TrapX implique l’application d’une politique de mot de passe solide sur tous les réseaux et sous-systèmes, de garder les systèmes à jour et de faire preuve d’une vigilance extrême lorsqu’il s’agit de gérer les partages réseau et de ne pas oublier de désactiver les connexions anonymes. Les chercheurs recommandent également de se débarrasser de Windows 7.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x