LemonDuck Malware Detection: Exploits CVE-2017-0144 and Other Microsoft’s Server Message BlockSMB Vulnerabilities for Cryptocurrency Mining

LemonDuckは悪名高い暗号通貨マイニングマルウェアであり、MicrosoftのServer Message Block（SMB）プロトコルの既知の脆弱性、特に EternalBlueの欠陥 として追跡されているCVE-2017-0144を含む、を利用してWindowsサーバーを攻撃していることが観察されています。このマルウェアは、資格情報の盗難が可能で、検出回避技術が強化され、複数の攻撃ベクトルを通じて拡散する、より高度な脅威に進化しています。

WindowsサーバーのSMB脆弱性を悪用するLemonDuckマルウェア攻撃を検出する

暗号通貨マイニング攻撃は近年急増しており、クリプトジャッキングに対する認識を高めることが重要です。最近のLemonDuckの暗号通貨マイナーオペレーターによるキャンペーンは、この成長する脅威の一例であり、Microsoft Server SMB脆弱性（EternalBlueなど）を悪用しながら、洗練された回避技術を使用してその影響を最大化しています。

LemonDuck攻撃を抑えるために、サイバー防御者は SOC Primeプラットフォーム に依存し、進化した脅威検出、自動化された脅威ハンティング、およびAI駆動の検出エンジニアリングのための完全な製品スイートによって支えられたカスタマイズされた検出ルールを集約する共同サイバー防御を実行することができます。「 検出を探索 」ボタンを押すだけで、Sigmaルールの関連コレクションに即座に深く掘り下げることができます。

検出を探索

SOC Primeチームは、専門の脅威バウンティ開発者と協力して、LemonDuck攻撃に結びついた悪意のある活動を特定するための13の検出ルールを開発しました。これらのルールは、30以上のSIEM、EDR、データレイクプラットフォームと完全に互換性があり、 MITRE ATT&CK®フレームワークと連携されています。各検出ルールは、 脅威インテリジェンス リンク、攻撃タイムライン、トリアージの提案、監査の推奨事項、および効果的な脅威検出を支援するためのその他の貴重な洞察を含む豊富なメタデータで強化されています。

SOC Primeのクラウドソーシングイニシアチブに参加したいですか？検出エンジニアリングおよび脅威ハンティングの専門知識を強化しようとする熟練したサイバーセキュリティ専門家は、私たちの 脅威バウンティプログラムに参加することで業界に貢献することができます。このイニシアチブは、検出コンテンツの作成者が自分のスキルを磨くだけでなく、財政的な報酬を得ながら、世界的なサイバーセキュリティの取り組みを強化する上で重要な役割を果たすことを可能にします。

LemonDuckマルウェア分析

不正なマイニング（クリプトジャッキング）を実行するよう設計された 暗号マルウェア の大幅な増加と、こうした悪意のある種類の継続的な進化により、世界中の組織や個々のユーザーは防御能力を強化する方法を模索しています。 NetbyteSEC は現在、LemonDuckマルウェアに関する研究を公開しており、同マルウェアは2019年にその出現以来、単純な暗号通貨マイニングボットネットからWindowsサーバーを狙うより高度な脅威へと進化しました。

LemonDuckは既知の EternalBlueの脆弱性 （CVE-2017-0144）を武器化し、他のMicrosoftのSMBの欠陥と共にネットワークに侵入し、セキュリティ対策を無効にして暗号通貨をマイニングすることが検出されています。このマルウェアは、フィッシングメールを含む複数の感染ベクトルを適用し、パスワードのブルートフォース攻撃が可能で、PowerShellを使用して検出を回避し、暗号ジャッキングのために悪意のあるペイロードを展開します。

攻撃の初期段階で、敵対者はIPアドレス211.22.131.99を利用してSMBマシンに対してブルートフォース攻撃を行い、Administratorという名前のローカルユーザーとしてログインすることでアクセスを取得することに成功しました。このアカウントにログインした後、攻撃者はC: ドライブの隠された管理共有を設定し、権限の高い資格情報を持つユーザーにドライブのリモートアクセスを可能にしました。この隠された共有により、敵対者は持続性を保ち、リモートアクセスを取得し、バッチファイルとPowerShellスクリプトを通じて悪意のあるアクションを実行する際に検出を回避しました。後者はネットワークエクスプロイトの設定、スクリプトのダウンロードと実行、実行ファイルの作成と名前変更、持続性のためのスケジュールされたタスクの設定、ファイアウォールルールの変更、ドライバーの開始とシステム再起動を強制する検出回避およびマルウェア解析の手段を含みます。攻撃は感染の痕跡を隠すためのクリーンアップと最終的な実行で終了します。

マルウェアはWindows Defenderのリアルタイム監視を無効にし、ステルス性を維持し、C2通信を容易にするために他の攻撃操作を行い、攻撃者がシステムを制御したり、データを流出させたりすることができるようにしながら、セキュリティツールによる検出を回避します。さらに、LemonDuckはより悪意のあるスクリプトをダウンロードしようとし、 Mimikatz を使用して資格情報を盗むことで、ネットワーク内で横移動する可能性を作り出します。

複数の検出回避技術を活用するLemonDuckのステルス暗号通貨マイニングマルウェアの進化に伴い、組織は常にすべてのオペレーティングシステムとソフトウェアを定期的に更新し、EternalBlueのような既知のSMB脆弱性から保護して、妥協のリスクを軽減するよう促されています。を活用することで 共同サイバー防御のためのSOC Primeプラットフォーム、セキュリティエンジニアは、出現する脅威に常に先んじるための将来に備えたサイバーセキュリティ体制を構築することができます。