Microsoft informó sobre la actividad del malware LemonDuck

mining malware LemonDuck

Los investigadores de Microsoft han publicado un análisis detallado del malware de minería LemonDuck e informó que el malware multiplataforma continúa mejorando.

LemonDuck es capaz de atacar Windows y Linux, explota vulnerabilidades antiguas y utiliza varios mecanismos de distribución para mejorar la eficacia de sus campañas.

Pato Limón, un malware resistente y activamente actualizado conocido por sus botnets y minería de criptomonedas, ha seguido un camino bien conocido, exhibiendo un comportamiento más sofisticado y expandiendo sus operaciones. Hoy LemonDuck no sólo utiliza recursos [víctimas] por sus bots y minería, pero también roba credenciales, desactiva los mecanismos de seguridad, se propaga por correo electrónico, exhibe movimiento lateral, y finalmente entrega [al sistema infectado] otras herramientas maliciosas controladas por el hombre.Microsoft dijo.

La actividad de LemonDuck se descubrió por primera vez en China en mayo 2019. Más tarde, en 2020, el malware comenzó a usarse señuelos relacionado con el COVID-19 por sus ataques, y más recientemente explotado ProxyLogon vulnerabilidades fijado en Microsoft Exchange para acceder a sistemas desprotegidos.

En general, LemonDuck busca dispositivos vulnerables a problemas como CVE-2017-0144 (EternoAzul), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (azulmantener), CVE-2020-0796 (SMBfantasma), CVE-2021-26855 (Inicio de sesión proxy), CVE-2021-26857 (Inicio de sesión proxy), CVE-2021-26858 (Inicio de sesión proxy) y CVE-2021-27065 (Inicio de sesión proxy).

Una de las características distintivas de LemonDuck es la capacidad del malware para eliminar «otros atacantes desde un dispositivo comprometido, eliminando así el malware de la competencia y previniendo nuevas infecciones, así como reparar vulnerabilidades que se utilizaron para obtener acceso.»

malware minero LemonDuck

Los ataques de LemonDuck suelen tener como objetivo el sector manufacturero y el IoT, con el mayor número de incidentes reportados en EE.UU., Rusia, Porcelana, Alemania, Reino Unido, India, Corea, Canada, Francia, y Vietnam.

Microsoft también describe otra campaña relacionada con LemonDuck denominada LemonCat en su informe.. Los expertos creen que LemonCat se está utilizando para otros fines y ha estado activo desde enero. 2021. En particular, LemonCat se utilizó en ataques contra servidores vulnerables de Microsoft Exchange, y estos incidentes llevaron a la instalación de una puerta trasera, robo de credenciales e información, y la instalación del troyano Ramnit.

Mientras la infraestructura de LemonCat se utiliza para campañas más peligrosas, no mitiga el riesgo de infección de malware asociado con la infraestructura de LemonDuck. microsoft dijo.

Déjame recordarte que hablamos de Los operadores de malware LemonDuck atacan a los proveedores de IoT.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *