Lemon Duck - Anther Κοιτάξτε το Stubborn Cryptominer

Το Lemon Duck είναι ένα κακόβουλο λογισμικό κρυπτογράφησης που υπάρχει εδώ και χρόνια. Εντοπίστηκε για πρώτη φορά από ερευνητές ασφαλείας το καλοκαίρι του 2019, λίγο πριν από δύο χρόνια και έκτοτε έχει χρησιμοποιηθεί σε πολλές εστιασμένες καμπάνιες.

Οι ερευνητές με τη Microsoft έχουν κυκλοφορήσει μια ενημερωμένη εξέταση του Lemon Duck cryptominer, περιγράφοντας μερικές περίεργες τάσεις στην ανάπτυξή της.

Το Lemon Duck μπορεί να αναρριχηθεί και να αναλάβει δίκτυα που βασίζονται σε Windows και Linux. Ωστόσο, έχει μερικές δυνατότητες που το καθιστούν λίγο ξεχωριστό μεταξύ άλλων κακόβουλων προγραμμάτων κρυπτογράφησης.

Ενώ τα περισσότερα κακόβουλα προγράμματα κάνουν απλώς το καλύτερο δυνατό για να αποφύγουν τον εντοπισμό, το Lemon Duck πηγαίνει πάνω και πέρα. Δεν απλώς απενεργοποιεί το λογισμικό προστασίας από κακόβουλο λογισμικό και την ασφάλεια στα παραβιασμένα συστήματα, μπορεί στην πραγματικότητα να ξεριζώσει άλλα ανταγωνιστικά κακόβουλα προγράμματα, ακόμη και να εφαρμόσει ενημερώσεις κώδικα ευπάθειας για να διασφαλίσει ότι το σύστημα παραμένει καθαρό από άλλα ανταγωνιστικά κακόβουλα προγράμματα.

Το κόλπο με την επιδιόρθωση τρωτών σημείων δεν διασφαλίζει απλώς ένα μη αμφισβητούμενο χώρο για το Lemon Duck στο δίκτυο. Έχει το πρόσθετο αποτέλεσμα της καθυστέρησης της ανθρώπινης έρευνας, καθώς μια εταιρεία ή ένα δίκτυο θα μπορούσε πρώτα να επικεντρώσει την προσοχή της σε συσκευές που εξακολουθούν να μην έχουν διορθώσεις.

Ένα παράδειγμα του Lemon Duck που καθαρίζει τα δάκτυλά του είναι μια επίθεση που χρησιμοποιεί το κακόβουλο λογισμικό σε δίκτυα που εκτελούν Microsoft Exchange Server. Μετά την κατάχρηση σφαλμάτων για να διεισδύσει στο δίκτυο, το Lemon Duck χρησιμοποιήθηκε αργότερα για να διορθώσει τα ίδια τα σφάλματα που χρησιμοποιούσε για πρώτη φορά. Για να το ξεπεράσουμε, οι παράγοντες απειλής πίσω από αυτήν τη συγκεκριμένη καμπάνια χρησιμοποίησαν το εργαλείο μετριασμού της Microsoft για να διορθώσουν τα σφάλματα.

Επιπλέον, το File Duck χρησιμοποιεί τεχνικές χωρίς αρχεία και άμεσες ενέσεις μνήμης και διεργασίας, οπότε η ανίχνευση παρεμποδίζεται περαιτέρω.

Όλα αυτά συνδυάζονται καθιστούν το File Duck ιδιαίτερα δύσκολο να εντοπιστεί και να αφαιρεθεί, μόλις βρεθεί σε ένα δίκτυο. Όταν πρόκειται για πλατφόρμες διακομιστών που έχουν επαρκή γενικά πόρους, η εξάντληση πόρων του κακόβουλου λογισμικού μπορεί να μην γίνει πολύ αισθητή αμέσως και μπορεί να συνεχίσει να λειτουργεί χωρίς προβλήματα για παρατεταμένα χρονικά διαστήματα.