Лимонная утка - Еще один взгляд на упрямого криптомайнера

Lemon Duck - это вредоносная программа для майнинга криптовалют, которая существует уже несколько лет. Впервые он был обнаружен исследователями безопасности летом 2019 года, чуть более двух лет назад, и с тех пор использовался в нескольких целевых кампаниях.

Исследователи из Microsoft выпустили обновленную версию криптомайнера Lemon Duck, в которой обозначены некоторые любопытные тенденции в его развитии.

Lemon Duck может подкрасться и захватить сети как на базе Windows, так и на базе Linux. Тем не менее, у него есть несколько функций, которые делают его особенным среди других крипто-вредоносных программ.

В то время как большинство вредоносных программ просто стараются избежать обнаружения, Lemon Duck делает все возможное. Он не просто отключает антивирусное программное обеспечение и программное обеспечение безопасности на скомпрометированных системах, он может фактически искоренить другие конкурирующие вредоносные программы и даже применить исправления уязвимостей, чтобы гарантировать, что система остается чистой от других конкурирующих вредоносных программ.

Уловка с исправлением уязвимостей не просто обеспечивает бесспорное место для Lemon Duck в сети. Это имеет дополнительный эффект задержки человеческого расследования, поскольку компания или сеть могут сначала сосредоточить свое внимание на устройствах, на которых все еще отсутствуют исправления.

Одним из примеров того, как Lemon Duck убирает пол по своим следам, является атака с использованием вредоносного ПО в сетях, на которых работает Microsoft Exchange Server. После злоупотребления ошибками для проникновения в сеть, Lemon Duck позже использовался для исправления тех самых ошибок, которые он использовал для проникновения в первую очередь. В довершение ко всему, злоумышленники, стоящие за этой конкретной кампанией, использовали собственный инструмент Microsoft для устранения ошибок.

Кроме того, File Duck использует безфайловые методы и прямую память и внедрение процессов, что еще больше затрудняет обнаружение.

Все это вместе делает File Duck особенно сложным для отслеживания и удаления после того, как он попал в сеть. Когда дело доходит до серверных платформ с достаточными накладными расходами ресурсов, утечка ресурсов вредоносным ПО может не стать слишком заметным сразу, и оно может продолжать работать беспрепятственно в течение длительных периодов времени.