Lemon_Duck挖礦程式蔓延到Linux平臺

資安業者Sophos在上周警告，厲害的挖礦程式Lemon_Duck日益精進，現在不僅可感染Windows平臺，也把目標轉移到Linux平臺與雲端應用。

去年現身的Lemon_Duck主要用來感染企業網路，以於企業內部系統上植入門羅幣（Monero）挖礦程式，根據趨勢科技的分析，它使用多重的無檔案手法，利用多個惡意的PowerShell腳本程式下載酬載，且只於記憶體中執行，最後一個PowerShell腳本程式則描述了所有的惡意程序，包括使用EternalBlue攻擊程式來攻陷SMB（Server Message Block），暴力破解系統，執行雜湊傳遞（Pass The Hash）攻擊，以及下載各種酬載等。

Sophos則將它稱為坊間最先進的挖礦程式之一，因為Lemon_Duck作者持續更新它的程式碼，讓它的社交程式攻擊跟上時事，也會改善它躲避偵測的能力，最新的Lemon_Duck已不只瞄準Windows平臺，還把目標轉向了Linux平臺，以及Redis資料庫與Hadoop叢集。

Lemon_Duck最危險的功能之一應該是它的散布能力，新版Lemon_Duck以武漢肺炎（COVID-19）為主旨的郵件來誘導使用者點選附加檔案，在成功感染系統之後，它會根據受害者的Outlook通訊錄，自行寄送惡意郵件給受害者所有的聯絡人，讓受害電腦成為Lemon_Duck的超級傳播者。

此外，新版Lemon_Duck已可感染那些執行Linux的系統，透過內建的傳輸埠掃描模組來搜尋以SSH協定登入的Linux系統傳輸埠，一旦找到目標對象便執行SSH暴力破解攻擊。

Lemon_Duck也會掃描網路上是否有因配置失誤而曝光的Redis分散式資料庫，或是不需身分認證的Hadoop叢集，以在這些系統上植入挖礦軟體。

Sophos在GitHub上公布可用來辨識是否受到Lemon_Duck入侵的指標供外界參考。