近日,亚信安全截获“LemonDuck”(柠檬鸭)挖矿病毒的最新变种文件,本次攻击行动主要针对政府、零售与科技等行业。 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
该变种启用Python打包可执行文件方式进行网络攻击,重新将永恒之蓝漏洞攻击、SMB、MSSQL爆破攻击的代码添加到可执行文件中,结合之前的PowerShell脚本进行混合攻击。失陷后的系统会下载if.bin和<random>.EXE攻击模块进行大规模的漏洞扫描和攻击传播,中毒系统最终用于下载运行门罗币挖矿木马。 Cisco Talos 最近也检测到与加密货币挖掘僵尸网络 Lemon Duck 相关的活动较为频繁。 Lemon Duck Lemon Duck 是一个可自传播的僵尸网络,主要目的是挖掘门罗币,使用的矿机是 XMR 的修改版。 Lemon Duck 是最复杂的挖矿僵尸网络之一,会使用各种不同的方法和技术来掩盖恶意操作行为。 根据思科的分析报告,Lemon Duck 最近又恢复了活跃状态。 攻击流程 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
class="ztext-empty-paragraph">
更新 自从 2018 年 12 月出现以来,Lemon Duck 一直保持着更新与活跃。2020 年 8 月底,Lemon Duck 的活动明显增加了。 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
感染载体 思科分析确认了 12 种独立的感染载体,包括通过 SMB 共享、Redis 漏洞等方式。 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
Lemon Duck 用于采矿的 GPU 模块化加载 Lemon Duck 的主程序会检查用户权限以及相关环境信息,比如显卡的类型等。如果未能发现 GPU 则执行 XMRig 的 CPU 模式进行挖矿。 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
此外 Lemon Duck 还使用了传播模块、使用 Pyinstaller 打包的 Python 模块、破坏其他竞争对手的模块等。 开源项目 Lemon Duck 广泛使用了大量的开源 PowerShell 项目来实现自己的功能。 Invoke-TheHash by Kevin Robertson Invoke-EternalBlue PowerShell EternalBlue port BlueKeep RCE exploit (CVE- 2019-0708) PowerShell port Powersploit’s reflective loader by Matt Graeber Modified Invoke-Mimikatz PowerShell module IOC t[.]amynx[.]com t[.]zer9g[.]com p[.]b69kq[.]com lplp[.]ackng[.]com d[.]ackng[.]com w[.]zz3r0[.]com info[.]amynx[.]com info[.]ackng[.]com info[.]zz3r0[.]com t[.]jdjdcjq[.]top p[.]awcna[.]com t[.]zer2[.]com t[.]tr2q[.]com 172[.]104[.]7[.]85 66[.]42[.]43[.]37 207[.]154[.]225[.]82 161[.]35[.]107[.]193 167[.]99[.]154[.]202 139[.]162[.]80[.]221 128[.]199[.]183[.]160 128[.]199[.]188[.]255 167[.]71[.]158[.]207 参考来源 GBHackers TalosIntelligence
|