Lemon Duck - Anther Look at the Stubborn Cryptominer

Lemon Duck er en kryptomining-malware som har eksistert i en kupé i år nå. Det ble først oppdaget av sikkerhetsforskere sommeren 2019, for litt over to år siden, og har siden blitt brukt i flere fokuserte kampanjer.

Forskere med Microsoft har gitt ut en oppdatert undersøkelse av Lemon Duck cryptominer, som skisserer noen nysgjerrige trender i utviklingen.

Lemon Duck kan krype og overta både Windows og Linux-baserte nettverk. Imidlertid har den noen få funksjoner som gjør det litt av et spesielt tilfelle blant andre kryptomalware.

Mens de fleste skadelige programmer ganske enkelt gjør sitt beste for å unngå oppdagelse, går Lemon Duck utover det. Det stenger ikke bare anti-malware og sikkerhetsprogramvare på kompromitterte systemer, det kan faktisk utrydde annen konkurrerende malware, til og med bruke sårbarhetsoppdateringer for å sikre at systemet holder seg rent fra annen konkurrerende malware.

Trikset med å lappe sårbarheter sikrer ikke bare en ubestridt plass for Lemon Duck på nettverket. Det har den ekstra effekten av å forsinke menneskelig etterforskning, ettersom et selskap eller et nettverk først kan rette oppmerksomheten mot enheter som fremdeles mangler oppdateringer.

Et eksempel på at Lemon Duck støter opp gulvet i sine egne fotspor er et angrep med skadelig programvare på nettverk som kjører Microsoft Exchange Server. Etter å ha misbrukt bugs for å infiltrere nettverket, ble Lemon Duck brukt til å lappe de aller bugs som den pleide å infiltrere i utgangspunktet. For å toppe alt, brukte trusselsaktørene bak denne kampanjen Microsofts eget avbøtingsverktøy for å lappe feilene.

I tillegg bruker File Duck fileløse teknikker og direkte minne- og prosessinjeksjoner, slik at deteksjonen blir ytterligere hemmet.

Alt dette kombinert gjør File Duck spesielt vanskelig å spore og fjerne når den har funnet veien i et nettverk. Når det gjelder serverplattformer som har tilstrekkelig ressurskostnad, kan det hende at ressursdreneringen til skadelig programvare ikke blir for merkbar umiddelbart, og den kan fortsette å gå uhindret i lengre perioder.