レモンダックに気をつけろ-パスワードをブルートフォースできる暗号マイナー
2020年10月下旬、セキュリティ研究者はレモンダックボットネットに関する警告を発しました。暗号通貨マイニングボットネットは、重大なアクティビティスパイクを記録し、暗号マイナーボットを再び関連性のあるものにしています。
Lemon Duckボットネットは、暗号マイニングに焦点を当てた「より複雑な」ボットネットワークの1つとして説明されています。少なくとも2018年後半から存在しているというコンセンサスがありますが、2020年8月以降、レモンダックのコマンドアンドコントロールサーバーを指すリクエストが目に見えて増加しています。アクティビティの増加は、主にアジアの領土。
レモンダックの活動のうねりに関する新しい研究は、2020年3月には早くも異常な兆候に気づいたCiscoTalosから始まりました。
レモンダックには驚異的な数の感染媒介動物がいます。これまでに12個が発見されています。これらは、リモートデスクトップから、Windows固有の脆弱性の悪用、電子メールの悪意のある添付ファイル、パスワードのブルートフォース、さらにはLinux固有のスケジューリングプラットフォームの悪用まで、さまざまなアプローチをカバーしています。
レモンダックのしくみ
Lemon Duckは、最初にWindows DefenderのリアルタイムガードをオフにするPowerShellスクリプトをダウンロードして実行し、次にPowerShellプロセスをスキャンリストから除外します。次に、PowerShellスクリプトは、PowerShellプロセスが管理者権限で実行されているかどうかを確認します。その場合、ペイロードがダウンロードされ、システムで実行されます。
ボットネットはシステムをスキャンし、インストールされているグラフィックカードの製造元と特定のモデルをチェックします。ディスクリートGPUが検出されない場合、ペイロードは、代わりにシステムのCPUで実行される個別のマイニングスクリプトをダウンロードします。 Lemon Duckには、ボットネットの拡散を処理するモジュール専用の驚異的な10,000行のコードも含まれています。
ボットネットの拡散モジュールには、電子メールコンポーネントもあります。これは、悪意のあるファイルを含む添付ファイルを開くようにユーザーを怖がらせることを目的とした、主にCovid-19またはその他の衝撃的な文に関連する件名の電子メールを使用します。
Lemon Duckは、スマートTV、プリンター、さらにはWindows7で実行されているコンポーネントに依存する自動操縦システムを備えた車両などのあらゆる種類のインターネット接続デバイスを対象としたキャンペーンで使用されてきました。