Uma nova variante do infame malware de criptomining Lemon_Duck mira dispositivos Linux

O malware de criptomineração Lemon_Duck foi detectado pela primeira vez em junho de 2019 por pesquisadores da Trend Micro enquanto almejava redes corporativas. A ameaça era obter acesso ao serviço MS SQL por meio de ataques de força bruta e aproveitar o exploit EternalBlue .

Ao infectar um dispositivo, o malware fornece um minerador XMRig Monero (XMR).

O malware está sendo distribuído por meio de campanhas de spam em grande escala com o tema COVID-19, as mensagens usam um exploit RTF visando o CVE-2017-8570 Microsoft Office RCE para entregar a carga maliciosa.

Os autores do malware de criptomineração Lemon_Duck também adicionaram um módulo que explora o SMBGhost (CVE-2020-0796) cliente / servidor RCE do Windows SMBv3.

Os especialistas notaram que os atores da ameaça exploraram a falha CVE-2020-0796 para coletar informações nas máquinas comprometidas, em vez de executar código arbitrário nos sistemas vulneráveis.

É interessante notar que os invasores, entre o início de junho e agosto, desativaram os módulos EternalBlue e Mimikatz, provavelmente para medir a eficácia do módulo do SMBGhost.

O minerador Lemon_Duck usa um módulo de varredura de porta que procura por sistemas Linux conectados à Internet ouvindo na porta TCP 22 usada para login remoto SSH e, em seguida, lança ataques de força bruta SSH.

“Este aspecto da campanha expande a operação de mineração para dar suporte a computadores rodando Linux. O módulo de força bruta realiza varredura de porta para localizar máquinas ouvindo na porta 22 / tcp (SSH Remote Login). Quando os encontra, ele lança um ataque de força bruta SSH a essas máquinas, com o nome de usuário  root  e uma lista de senhas codificada. ” lê a postagem publicada pela Sophos. “Se o ataque for bem-sucedido, os invasores baixam e executam o código de shell malicioso.”

Então, o malware Lemon_Duck tenta ganhar persistência adicionando um cron job e coleta credenciais de autenticação SSH do arquivo /.ssh/known_hosts na tentativa de infectar mais dispositivos Linux na rede.

Após a infecção, os atacantes Lemon_Duck tentam desabilitar a compactação SMBv3 por meio do registro e bloquear as portas de rede SMB padrão de 445 e 135 para evitar que outros agentes de ameaças explorem a mesma vulnerabilidade. 

Os autores de Lemon_Duck também adicionaram o suporte para verificação e comprometimento de servidores que executam Redis (REmote DIctionary Server) na memória, bancos de dados distribuídos e clusters Hadoop gerenciados usando YARN (Yet Another Resource Negotiator).

“O criptominer Lemon Duck é um dos tipos mais avançados de carga útil do cryptojacker que vimos”, conclui Sophos.

“Seus criadores atualizam continuamente o código com novos vetores de ameaças e técnicas de ofuscação para evitar a detecção, e o próprio minerador fica ‘sem arquivo’, o que significa que permanece residente na memória e não deixa rastros de si mesmo no sistema de arquivos da vítima.”

Fonte: https://securityaffairs.co/wordpress/107626/malware/lemon_duck-target-linux.html