微軟上周解析名為LemonDuck的殭屍網路程式的最新演化情形,利用Exchange Server等 ProxyLogon及其他舊漏洞,攻擊Windows/Linux伺服器及IoT裝置。

LemonDuck並非新冒出的威脅。於今年三月微軟揭露Exchange Server Proxylogon漏洞後,卡巴斯基也發現有駭客利用LemonDuck對用戶電腦發動攻擊。事實上,它首見於2019年5月,原本是採礦程式,也僅限感染中國,但隨後幾年持續演進,不論攻擊的平臺、感染區域、傳染管道都愈來愈進階。

早年LemonDuck主要攻擊中國地區,但現在已擴散多國,包括美、英、俄、德、法、韓、加拿大及越南等地,鎖定製造業及IoT業。

微軟指出,它是今天少數被紀錄到能同時感染Windows和Linux的殭屍網路程式,在網路上掃瞄防護較弱的SMB、Exchange、SQL、Hadoop、REDIS、RDP伺服器或其他邊緣裝置尋找潛在受害目標。它能利用網釣郵件、Eternal Blue SMB開採程式、USB裝置、暴力破解等多種方式進入受害系統。它還能利用最新時事擴大攻擊對象。去年利用COVID-19為例發動釣魚信件,今年則利用Exchange Server新發現的漏洞,即ProxyLogon駭入未修補的電腦。

值得一提的是,LemonDuck並非只用新漏洞,還使用已知的舊漏洞,微軟指出,這是因為廠商和用戶往往把重點放在修補新漏洞,而忽略舊漏洞。此外,LemonDuck還會從受害裝置上移除其他攻擊者,開採完一個漏洞後,還會修補漏洞防止其他新感染。

LemonDuck使用的漏洞包括:CVE-2017-0144 (EternalBlue)、CVE-2017-8464 (LNK RCE)、CVE-2019-0708 (BlueKeep)、CVE-2020-0796 (SMBGhost)、CVE-2021-26855 (ProxyLogon)、CVE-2021-26857(ProxyLogon)、CVE-2021-26858 (ProxyLogon)和 CVE-2021-27065(ProxyLogon)。

在進入受害者裝置後的功能上,LemonDuck行為更複雜。除了原有的殭屍網路程式及挖礦外,LemonDuck現在也能竊取登入帳密、移除安全控制、利用傳遞雜湊(pass-the-hash)手法在企業網路內部橫向移動,並在用戶電腦上植入人為操作的工具。2021年LemonDuck使用的外部C&C (C2)基礎架構也更多元,這使它在受害者電腦得以不斷更新攻擊武器。

熱門新聞

Advertisement