殭屍網路程式也用Exchange漏洞發動挖礦攻擊

Exchange Server漏洞未補後患無窮。繼國家駭客、勒索軟體後，安全廠商發現，一款名為Lemon Duck（黃色小鴨）的殭屍網路程式，現在也開始鎖定攻擊Exchange Server的漏洞。

Lemon Duck是一款以挖門羅幣（Monero）為目的殭屍網路程式。卡巴斯基全球研究與分析小組主任Costin Raiu指出，Lemon Duck背後的駭客正在大規模開採Exchange Server的ProxyLogon漏洞，以散佈這個挖礦程式。

Lemon Duck背後的運作組織並非Hafnium，目的在利用受害裝置挖礦，至少2018年底即已出現。去年底，思科研究人員發現它開採Windows BlueKeep漏洞以感染Windows 10系統。卡巴斯基去年2月也偵測到Lemon Duck攻擊連結Windows 7系統的印表機、智慧電視或自駕車車上系統，串聯挖礦殭屍網路。

Lemon Duck這個程式會透過許多途徑，包括電子郵件、psexec、WMI及SMB開採程式（如Eternal Blue、SMB Ghost）等散佈，但除了Windows系統外，它也能感染Linux機器、MS SQL伺服器、Redis及Hadoop叢集伺服器。此外它還能利用Windows安全測試工具Mimikatz來竊取系統密碼以利擴大感染範圍。Bleeping Computer引述安全廠商Sophos研究人員的話指出，Lemon Duck屬於技術最高明的挖礦軟體之一。

針對Lemon Duck，卡巴斯基提供了攻擊指標p.estonine[.]com、cdn.chatcdn[.]net及雜湊供企業IT管理員檢查內部系統安全。

不過這並非第一波搭上Exchange Server漏洞攻擊列車的挖礦軟體。上周ESET發現在微軟公布漏洞後幾天內，就有DLTMiner已經升高活動。

上周安全研究人員Michael Gillespie另外也揭露一個不明駭客組織，正在藉由開採ProxyLogon漏洞植入勒索軟體DearCry。