Rilevamento del Malware LemonDuck: Sfrutta CVE-2017-0144 e altre vulnerabilità del Server Message Block SMB di Microsoft per il mining di criptovalute
Indice:
LemonDuck, un malware notorio per il cripto-mining, è stato osservato prendere di mira i server Windows sfruttando note vulnerabilità nel protocollo Server Message Block (SMB) di Microsoft, inclusa la falla EternalBlue tracciata come CVE-2017-0144. Il malware si è evoluto in una minaccia più avanzata capace di furto di credenziali, arricchita da tecniche di evasione di rilevamento, e si diffonde attraverso più vettori di attacco.
Rileva gli attacchi Malware LemonDuck che sfruttano le vulnerabilità SMB nei server Windows
Gli attacchi di cryptomining sono aumentati negli ultimi anni, rendendo cruciale sensibilizzare sul cryptojacking. Una recente campagna degli operatori di LemonDuck cryptominer esemplifica questa minaccia crescente, sfruttando le vulnerabilità SMB di Microsoft Server—come EternalBlue—utilizzando tecniche di evasione sofisticate per massimizzare il suo impatto.
Per rimanere al passo con gli attacchi LemonDuck, i difensori cyber possono fare affidamento su SOC Prime Platform per una difesa cibernetica collettiva aggregando regole di rilevamento su misura supportate da un’intera suite di prodotti per il rilevamento di minacce avanzate, la ricerca automatizzata delle minacce e l’ingegneria di rilevamento basata su AI. Basta premere il Esplora Rilevamenti pulsante per approfondire immediatamente una raccolta pertinente di regole Sigma.
Il team SOC Prime, in collaborazione con sviluppatori esperti Threat Bounty, ha sviluppato 13 regole di rilevamento progettate per identificare attività dannose legate agli attacchi LemonDuck. Queste regole sono pienamente compatibili con oltre 30 piattaforme SIEM, EDR e Data Lake e sono allineate con il framework MITRE ATT&CK®. Ogni regola di rilevamento è arricchita da metadati ricchi, come collegamenti di intelligence sulle minacce , linee temporali degli attacchi, suggerimenti di triage, raccomandazioni di audit e altri preziosi approfondimenti per aiutare nel rilevamento efficace delle minacce.
Interessato a unirti all’iniziativa di crowdsourcing di SOC Prime? Professionisti della sicurezza informatica qualificati che cercano di migliorare la loro competenza in Detection Engineering e Threat Hunting possono contribuire al settore partecipando al nostro Programma Threat Bounty. Questa iniziativa permette ai creatori di contenuti di rilevamento non solo di affinare le proprie abilità ma anche di ottenere ricompense finanziarie, mentre svolgono un ruolo cruciale nel rafforzare gli sforzi di sicurezza informatica globali.
Analisi del Malware LemonDuck
Con il notevole aumento del malware crypto progettato per effettuare mining illegale (cryptojacking) e la continua evoluzione di tali ceppi maligni, le organizzazioni globali e gli utenti individuali stanno cercando modi per migliorare le loro capacità difensive. NetbyteSEC ha attualmente pubblicato una ricerca sul malware LemonDuck, che si è evoluto da un semplice botnet per il mining di criptovalute in una minaccia più sofisticata mirando ai server Windows sin dalla sua comparsa nel 2019.
LemonDuck è stato rilevato mentre strumentalizzava la nota vulnerabilità EternalBlue (CVE-2017-0144) insieme ad altre falle SMB di Microsoft per infiltrarsi nelle reti, disattivare le misure di sicurezza e minare criptovaluta. Il malware applica molteplici vettori d’infezione, inclusi email di phishing, è in grado di attacchi bruteforce alle password e impiega PowerShell per eludere il rilevamento e distribuire payload dannosi per il cryptojacking.
Nelle fasi iniziali dell’attacco, gli avversari hanno sfruttato l’indirizzo IP 211.22.131.99 per eseguire attacchi brute-force contro la macchina SMB e hanno ottenuto l’accesso effettuando il login come utente locale chiamato Administrator. Dopo aver effettuato l’accesso all’account, gli aggressori hanno configurato una condivisione amministrativa nascosta per l’unità C:, concedendo l’accesso remoto all’unità per gli utenti con credenziali elevate. Questa condivisione nascosta ha permesso agli aggressori di mantenere la persistenza, ottenere accesso remoto e aggirare il rilevamento mentre svolgevano azioni dannose tramite file batch e script PowerShell. Quest’ultimo coinvolge la configurazione di sfruttamento di rete, il download e l’esecuzione di script, la creazione e rinomina di eseguibili, la configurazione di attività pianificate per la persistenza, l’alterazione delle regole del firewall, l’avvio del driver e la forzatura di riavvii del sistema come mezzo di evasione del rilevamento e analisi anti-malware. L’attacco termina con la pulizia per ostacolare le tracce d’infezione e l’esecuzione finale.
Il malware disabilita il monitoraggio in tempo reale di Windows Defender ed esegue altre operazioni offensive per mantenere l’occultamento e facilitare la comunicazione C2, permettendo agli attaccanti di controllare il sistema o esfiltrare dati mentre elude il rilevamento da parte degli strumenti di sicurezza. Inoltre, LemonDuck tenta di scaricare ulteriori script dannosi e utilizza Mimikatz per rubare credenziali, permettendo potenzialmente di muoversi lateralmente all’interno della rete.
Con l’evoluzione di LemonDuck, malware per il cripto-mining furtivo che sfrutta più tecniche di evasione del rilevamento, le organizzazioni sono incoraggiate ad aggiornare regolarmente tutti i sistemi operativi e i software per proteggersi dalle vulnerabilità note SMB come EternalBlue e ridurre i rischi di compromissione. Affidandosi alla SOC Prime Platform per la difesa cyber collettiva, gli ingegneri della sicurezza possono costruire una postura di sicurezza informatica a prova di futuro per essere sempre un passo avanti alle minacce emergenti.
