加密货币挖矿恶意软件继续对在线用户造成伤害 计算巨头微软最近警告 Windows 用户提防臭名昭著的跨平台加密货币挖矿恶意软件 LemonDuck。 除了windows,这个恶意软件还攻击Linux平台的用户。
微软在其官方公告中指出,LemonDuck 一直在部署各种传播机制以最大化影响。 它的传统机器人和挖矿活动一直在窃取用户凭据,同时取消安全控制。
微软还补充说,LemonDuck 恶意软件“通过电子邮件传播、横向移动,并最终为人为操作的活动投放更多工具”。 LemonDuck 的最大威胁之一是它可以跨平台工作。 因此,它非常臭名昭著,并且拥有强大的跨平台快速传播能力。 这个通告 笔记:
LemonDuck 对企业的威胁还在于它是一种跨平台威胁。 它是少数记录在案的针对 Linux 系统和 Windows 设备的机器人恶意软件系列之一。 它使用了广泛的传播机制——网络钓鱼电子邮件、漏洞利用、USB 设备、暴力破解等——并且它已经表明它可以快速利用新闻、事件或新漏洞利用的发布来开展有效的活动。
因此,LemonDuck 充当涉及凭证盗窃的后续攻击的加载程序。 此外,它可以安装下一阶段的植入程序,作为通往许多恶意威胁(包括勒索软件)的网关。
在全球地图上扩展
早些年,LemonDuck 曾经定位于中国的用户。 但是,其业务已扩展到其他几个国家。 今天,它影响了包括北美和亚洲在内的很大的地理范围。
今年,LemonDuck 开始使用多样化的命令和复杂的基础设施和工具。 微软公告指出:
LemonDuck 仍然使用 C2、函数、脚本结构和变量名称的时间远远长于普通恶意软件。 这可能是由于它使用了防弹托管服务提供商,例如 Epik Holdings,即使报告有恶意行为,它们也不太可能使 LemonDuck 基础设施的任何部分脱机,从而使 LemonDuck 持续存在并继续构成威胁。
Lemonduck 经常使用由其他僵尸网络使用的资源构建的开源材料。 因此,威胁的几个组成部分看起来很相似。 但计算巨头微软挖矿了两种不同的操作结构,其中都使用 LemonDuck 恶意软件,但由具有不同目标的不同实体操作。
“鸭子”基础设施持续运行活动并执行有限的后续活动。 该基础设施与边缘设备入侵一起工作,并用作感染方法。 它明确使用“LemonDuck”脚本。
第二个基础设施是“Cat”基础设施,它有两个名称中带有“cat”的域。 这总是利用 Microsoft交易所 Server 中的漏洞。 今天,cat 基础设施存在于攻击“后门安装、凭据和数据盗窃以及恶意软件交付”中。这种基础设施通常会提供恶意软件 Ramnit。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
