情境示意圖,Photo by BeatingBetting.co.uk on https://www.flickr.com/photos/159526894@N02/26620160947/ (CC BY 2.0)

資安業者Sophos在上周警告,厲害的挖礦程式Lemon_Duck日益精進,現在不僅可感染Windows平臺,也把目標轉移到Linux平臺與雲端應用。

去年現身的Lemon_Duck主要用來感染企業網路,以於企業內部系統上植入門羅幣(Monero)挖礦程式,根據趨勢科技的分析,它使用多重的無檔案手法,利用多個惡意的PowerShell腳本程式下載酬載,且只於記憶體中執行,最後一個PowerShell腳本程式則描述了所有的惡意程序,包括使用EternalBlue攻擊程式來攻陷SMB(Server Message Block),暴力破解系統,執行雜湊傳遞(Pass The Hash)攻擊,以及下載各種酬載等。

Sophos則將它稱為坊間最先進的挖礦程式之一,因為Lemon_Duck作者持續更新它的程式碼,讓它的社交程式攻擊跟上時事,也會改善它躲避偵測的能力,最新的Lemon_Duck已不只瞄準Windows平臺,還把目標轉向了Linux平臺,以及Redis資料庫與Hadoop叢集。

Lemon_Duck最危險的功能之一應該是它的散布能力,新版Lemon_Duck以武漢肺炎(COVID-19)為主旨的郵件來誘導使用者點選附加檔案,在成功感染系統之後,它會根據受害者的Outlook通訊錄,自行寄送惡意郵件給受害者所有的聯絡人,讓受害電腦成為Lemon_Duck的超級傳播者。

此外,新版Lemon_Duck已可感染那些執行Linux的系統,透過內建的傳輸埠掃描模組來搜尋以SSH協定登入的Linux系統傳輸埠,一旦找到目標對象便執行SSH暴力破解攻擊。

Lemon_Duck也會掃描網路上是否有因配置失誤而曝光的Redis分散式資料庫,或是不需身分認證的Hadoop叢集,以在這些系統上植入挖礦軟體。

Sophos在GitHub上公布可用來辨識是否受到Lemon_Duck入侵的指標供外界參考。


Advertisement

更多 iThome相關內容