微软威胁情报团队分析蠕虫病毒柠檬鸭和柠檬猫 对多国企业造成严重威胁
Microsoft 365 Defender 团队日前介绍现代挖矿恶意软件基础设施柠檬鸭(LemonDuck)和柠檬猫(LemonCat)。
提醒用户尤其是企业级用户需要防范柠檬鸭和柠檬猫通过钓鱼邮件、漏洞利用、USB活动、暴力破解等方式传播。
能够让微软情报威胁团队发文进行详细介绍也说明柠檬鸭已经不是普通的恶意软件,其已经形成现代化基础设施。
通过各种方式渗透到企业内网移除安全措施、窃取凭证、通过邮件传播、在内网横向传播、部署门罗币挖矿软件。
有关柠檬鸭蠕虫病毒其实蓝点网此前已经提过,当时火绒安全实验室监测到柠檬鸭通过多种方式快速席卷互联网。
从现在微软的分析来看柠檬鸭和柠檬猫已经形成现代挖矿恶意软件基础设施,对全球所有企业都具有严重的威胁。
注:微软情报威胁团队目前发布的是柠檬鸭和柠檬猫分析的第一部分,主要包括威胁演变、传播和如何形成威胁。
对抗和预防当今对企业造成的安全威胁需要企业为自身提供更加全面的保护,重点是解决攻击的全部范围和影响。
任何可访问机器的东西、甚至是所谓的商品恶意软件(微软这在讽刺NSO商业间谍软件)都可能带来更危险的威胁。
柠檬鸭(也包括柠檬猫系列)是个主动更新且功能非常强大的恶意软件 ,主要以其僵尸网络和加密货币挖掘而闻名。
当它采用更复杂的行为并升级其操作时,它遵循相同的轨迹,甚至还衍生出更多恶意行为例如窃取企业安全凭证。
柠檬鸭最初只是用来挖矿但现在不仅挖矿还会窃取凭证、利用企业邮箱传播、通过内网横向传播、移除安全控制。
柠檬鸭对企业威胁在于它是一种跨平台威胁,它目前少数记录在案的同时针对Linux和Windows的恶意软件家族。
柠檬鸭使用广泛的传播机制包括网络钓鱼邮件、漏洞利用、USB设备、暴力破解等,甚至利用热点新闻展开攻击。
例如在 2020 时微软观察到柠檬鸭通过电子邮件进行攻击时使用新冠病毒肺炎为主题,诱导收件者点击安装病毒。
而在 2021 年柠檬鸭又利用Microsoft Exchange Server安全漏洞进行传播 , 未及时打补丁的企业都可能被攻击。
然而这种威胁不仅限于新的或流行的漏洞,柠檬鸭还会使用旧漏洞进行感染,毕竟很多企业从来不及时安装更新。
值得注意的是柠檬鸭还会通过清除竞争性恶意软件通过自动修复漏洞确保只有自己感染,而其他竞争者会被剔除。
早些年柠檬鸭主要针对中国企业发起攻击,现在柠檬鸭已经扩展到许多国家和地区、专注于制造业和物联网领域。
例如当前柠檬鸭已经威胁到中国、美国、俄罗斯、德国、英国、印度、韩国、加拿大、法国以及越南的多家企业。
分析表明当前柠檬鸭活动已经开始使用更多样化的命令和控制基础设施与工具,并形成规模庞大的现代基础设施。
此次更新后柠檬鸭支持手动操作键盘,这取决于黑客集团对受感染设备的感知价值,如果有必要那就去深入分析。
然而尽管已经采取技术升级但柠檬鸭仍然使用现代基础设施,原因可能是柠檬鸭使用的是某些特别的托管服务商。
柠檬鸭使用的托管服务商名为EPIK Holdings 网络公司,这家服务商来自美国主要提供域名注册和网络托管服务。
但服务商以托管极右翼、新纳粹和其他极端主义内容网站为闻名,当然各种恶意软件和病毒也喜欢去找他们托管。
即便像微软这样的公司向该服务商报告恶意软件或病毒,他们也会置之不理,不会删除任何黑客集团的基础设施。
微软情报威胁团队对各种规模的恶意软件基础设施进行研究,为了解当今企业面临的威胁范围提供了宝贵的见解。
就柠檬鸭恶意软件来说,威胁是跨平台的、持久的且不断发展的,像这样的研究强调全面了解各种威胁的重要性。
柠檬鸭最早被记录在案的时间是2019年5月,当时微软和部分安全公司发现柠檬鸭快速传播感染并部署挖矿病毒。
其使用 PowerShell 脚本,脚本里已经编写各种计划任务启动的代码,运行后即可按照黑客预设的操作进行感染。
包括部署挖矿病毒、使用永恒之蓝漏洞进行传播、使用暴力破解或其他方式破解内网其他设备进行横向传播等等。
这些活动在今天的柠檬鸭里仍可看到,其脚本变量以Lemon_Duck命名 , 因此该恶意软件家族也被命名为柠檬鸭。
柠檬鸭也经常使用由其他僵尸网络使用的开源软件,因此柠檬鸭的某些代码对安全研究人员来说应该是比较熟的。
值得注意的是微软发现柠檬鸭有两种不同的操作结构,他们都使用柠檬鸭恶意软件,但可能是不同实体去控制的。
也就是说虽然都叫柠檬鸭但可能柠檬鸭是某个开源组件改过来的,因此有不同的黑客集团使用代码发起网络攻击。
柠檬鸭与柠檬猫基础设施及柠檬鸭攻击链
第一个实体被微软称为柠檬鸭,也就是微软这篇安全报告中主要分析的恶意软件,包括威胁历史和后续的发展等。
这个实体运营的柠檬猫与历史分析高度一致,其基础设施很少与作为感染方法的边缘设备代理字符串结合使用等。
并且该实体更有可能为其命令与控制服务器生成随机名称,但该实体总会在脚本中明确使用柠檬鸭这个变量名称。
第二个基础设施被微软称为柠檬猫,因为其使用的命令与控制服务器域名里出现猫 (sqlbetcat 与 netcatkit.com)
这个新的基础设施出现时间是今年年初,其主要利用Microsoft Exchange Server 的安全漏洞进行传播和感染等。
现在的柠檬猫基础设施还会用于攻击, 通常包括安装后门程序、盗取安全凭据和数据及传播 Ramnit 等恶意软件。
实际上柠檬猫的行为要比柠檬鸭的威胁更强,但这并不会降低柠檬鸭的威胁,不要以为柠檬鸭只会用来进行挖矿。
因为柠檬鸭也可以根据其需要随时调整功能化身柠檬猫进行更多恶意活动,这实际也会增加研究人员的分析难度。
最后微软情报威胁团队还对柠檬鸭的传播方式进行分析,尽管柠檬鸭以多种方式传播但主要依靠的还是两种方式。
第一种是由边缘设备发起或由自动化脚本在企业内部进行横向传播,第二种是利用机器人自动发送网络钓鱼邮件。
柠檬鸭作为其恶意活动的主要载体和牵头兵,包括扫描和爆破LinuxSSH和WindowsRDP以及利用各种安全漏洞。
当成功感染带有Outlook邮箱的系统后柠檬鸭就会尝试从本地搜寻联系人和密码然后发送各种针对性的钓鱼邮件。
由于这种靠联系人之间相互传播邮件,因此多数企业设置的阻止陌生人邮件的相关安全控制也不会起到任何作用。
而收件人看到这是熟悉的同事或朋友发送的邮件可能也不会设防,直接点击邮件中附带的恶意脚本导致遭到感染。
微软建议企业应该加强邮箱方面的安全控制,包括扫描邮件以及覆盖范围更广的电子邮件安全策略确保识别威胁。