Lemon Duck – Pyłowe spojrzenie na upartego kryptominera
Lemon Duck to złośliwe oprogramowanie do wydobywania kryptowalut, które istnieje już od kilku lat. Po raz pierwszy został zauważony przez badaczy bezpieczeństwa latem 2019 r., nieco ponad dwa lata temu, i od tego czasu został wykorzystany w kilku ukierunkowanych kampaniach.
Badacze z firmy Microsoft opublikowali zaktualizowane badanie kryptokoparki Lemon Duck, przedstawiając kilka ciekawych trendów w jego rozwoju.
Lemon Duck może pełzać i przejmować sieci oparte na systemie Windows i Linux. Ma jednak kilka funkcji, które sprawiają, że jest to szczególny przypadek wśród innych złośliwych programów kryptograficznych.
Podczas gdy większość złośliwego oprogramowania po prostu stara się uniknąć wykrycia, Lemon Duck wykracza poza to. Nie tylko wyłącza oprogramowanie chroniące przed złośliwym oprogramowaniem i zabezpieczeniami w zaatakowanych systemach, ale może faktycznie wykorzenić inne konkurencyjne złośliwe oprogramowanie, a nawet zastosować łatki luk w zabezpieczeniach, aby zapewnić, że system pozostanie czysty od innego, konkurencyjnego złośliwego oprogramowania.
Sztuczka z łataniem luk nie zapewnia po prostu niekwestionowanej przestrzeni dla Lemon Duck w sieci. Dodatkowym efektem jest opóźnienie śledztwa prowadzonego przez ludzi, ponieważ firma lub sieć może najpierw skupić swoją uwagę na urządzeniach, którym wciąż brakuje poprawek.
Jednym z przykładów Lemon Duck zacierającego podłogę własnymi śladami jest atak z wykorzystaniem złośliwego oprogramowania na sieci z Microsoft Exchange Server. Po nadużyciu błędów w celu infiltracji sieci, Lemon Duck została później wykorzystana do późniejszego łatania tych samych błędów, które w pierwszej kolejności infiltrowały. Co więcej, cyberprzestępcy stojący za tą konkretną kampanią wykorzystali własne narzędzie Microsoftu do łagodzenia błędów.
Dodatkowo File Duck wykorzystuje techniki bezplikowe oraz bezpośrednie wstrzykiwanie pamięci i procesów, więc wykrywanie jest dodatkowo utrudnione.
Wszystko to razem sprawia, że File Duck jest szczególnie trudne do wyśledzenia i usunięcia, gdy znajdzie się w sieci. Jeśli chodzi o platformy serwerowe, które mają wystarczające obciążenie zasobów, drenaż zasobów przez złośliwe oprogramowanie może nie być od razu zauważalny i może działać bez przeszkód przez dłuższy czas.
