レモンダック-頑固なクリプトマイナーを葯で見る
Lemon Duckは、何年も前から存在している暗号化マルウェアです。これは、2年以上前の2019年の夏にセキュリティ研究者によって最初に発見され、それ以来、いくつかの焦点を絞ったキャンペーンで使用されています。
マイクロソフトの研究者は、レモンダッククリプトマイナーの最新の調査を発表し、その開発におけるいくつかの奇妙な傾向を概説しています。
Lemon Duckは忍び寄り、WindowsベースとLinuxベースの両方のネットワークを乗っ取ることができます。ただし、他の暗号マルウェアの中でも特別なケースとなるいくつかの機能があります。
ほとんどのマルウェアは検出を回避するために最善を尽くしますが、LemonDuckはそれを超えています。侵害されたシステム上のマルウェア対策ソフトウェアとセキュリティソフトウェアを単にシャットダウンするだけでなく、実際に他の競合するマルウェアを根絶し、脆弱性パッチを適用して、システムを他の競合するマルウェアからクリーンに保つことができます。
パッチを適用する脆弱性の秘訣は、ネットワーク上のLemonDuckに競合のないスペースを確保するだけではありません。企業やネットワークが最初にパッチがまだ不足しているデバイスに注意を向ける可能性があるため、人間による調査を遅らせるという追加の効果があります。
レモンダックが自らの足跡をたどる一例は、Microsoft ExchangeServerを実行しているネットワーク上でマルウェアを使用した攻撃です。バグを悪用してネットワークに侵入した後、Lemon Duckを使用して、最初に侵入していたバグそのものにパッチを適用しました。さらに、この特定のキャンペーンの背後にいる脅威アクターは、マイクロソフト独自の緩和ツールを使用してバグにパッチを適用しました。
さらに、File Duckはファイルレス技術と直接メモリおよびプロセスインジェクションを使用するため、検出がさらに妨げられます。
これらすべてを組み合わせることで、File Duckは、ネットワーク上で道を見つけた後、追跡して削除するのが特に困難になります。十分なリソースオーバーヘッドがあるサーバープラットフォームの場合、マルウェアのリソースドレインはすぐには目立たなくなり、長期間妨げられることなく実行され続ける可能性があります。