Malware penambangan kripto lintas platform yang terkenal terus menyempurnakan dan meningkatkan tekniknya untuk menyerang sistem operasi Windows dan Linux dengan mengarahkan sasarannya pada kerentanan yang lebih lama, sambil secara bersamaan menggunakan berbagai mekanisme penyebaran untuk memaksimalkan efektivitas penyebarannya.
“LemonDuck, malware yang diperbarui secara aktif dan kuat yang awalnya dikenal dengan botnet dan bertujuan untuk penambangan cryptocurrency, mengikuti jalur yang sama ketika mulai mengadopsi perilaku yang lebih canggih dan meningkatkan operasinya,” kata Microsoft dalam penulisan teknis yang diterbitkan minggu lalu. "Hari ini, selain menggunakan sumber daya untuk bot tradisional dan aktivitas penambangan, LemonDuck mencuri kredensial, menghapus kontrol keamanan, menyebar melalui email, bergerak secara lateral, dan akhirnya menginstall lebih banyak alat untuk aktivitas remote yang dioperasikan manusia."
Malware ini terkenal karena kemampuannya untuk menyebar dengan cepat di seluruh jaringan yang terinfeksi untuk memfasilitasi pencurian informasi dan mengubah mesin menjadi bot penambangan cryptocurrency dengan mengalihkan sumber daya komputasi mereka untuk menambang cryptocurrency secara ilegal. Khususnya, LemonDuck bertindak sebagai pemuat atau loader untuk serangan lanjutan yang melibatkan pencurian kredensial dan pemasangan backdoor tahap lanjut yang dapat bertindak sebagai pintu gerbang ke berbagai ancaman berbahaya, termasuk ransomware.
Aktivitas LemonDuck pertama kali terlihat di China pada Mei 2019, sebelum mulai mengadopsi umpan yang bertema COVID-19 dalam serangan email pada tahun 2020 dan bahkan kelemahan Server Exchange "ProxyLogon" yang baru-baru ini ditangani untuk mendapatkan akses ke sistem yang belum ditambal. Taktik lain yang perlu diperhatikan adalah kemampuannya untuk menghapus penyerang lain dari perangkat yang disusupi dengan menyingkirkan malware saingan dan mencegah infeksi baru dengan menambal kerentanan yang sama yang digunakan untuk mendapatkan akses.
Serangan yang menggunakan malware LemonDuck terutama difokuskan pada sektor manufaktur dan IoT, dengan AS, Rusia, Cina, Jerman, Inggris, India, Korea, Kanada, Prancis, dan Vietnam menjadi target utama.
Selain itu, Microsoft mencermati juga operasi entitas kedua yang mengandalkan LemonDuck untuk mencapai "tujuan terpisah/lain", yang diberi nama kode "LemonCat." Infrastruktur serangan yang terkait dengan varian "Cat" dikatakan telah muncul pada Januari 2021, yang mengarah pada penggunaannya dalam serangan yang mengeksploitasi kerentanan yang menargetkan Microsoft Exchange Server. Penyusupan berikutnya yang memanfaatkan domain Cat yang memasang backdoor, kredensial, dan pencurian data, serta pengiriman malware, sering kali merupakan trojan Windows yang disebut Ramnit.
sumber:
hacker news
“LemonDuck, malware yang diperbarui secara aktif dan kuat yang awalnya dikenal dengan botnet dan bertujuan untuk penambangan cryptocurrency, mengikuti jalur yang sama ketika mulai mengadopsi perilaku yang lebih canggih dan meningkatkan operasinya,” kata Microsoft dalam penulisan teknis yang diterbitkan minggu lalu. "Hari ini, selain menggunakan sumber daya untuk bot tradisional dan aktivitas penambangan, LemonDuck mencuri kredensial, menghapus kontrol keamanan, menyebar melalui email, bergerak secara lateral, dan akhirnya menginstall lebih banyak alat untuk aktivitas remote yang dioperasikan manusia."
Malware ini terkenal karena kemampuannya untuk menyebar dengan cepat di seluruh jaringan yang terinfeksi untuk memfasilitasi pencurian informasi dan mengubah mesin menjadi bot penambangan cryptocurrency dengan mengalihkan sumber daya komputasi mereka untuk menambang cryptocurrency secara ilegal. Khususnya, LemonDuck bertindak sebagai pemuat atau loader untuk serangan lanjutan yang melibatkan pencurian kredensial dan pemasangan backdoor tahap lanjut yang dapat bertindak sebagai pintu gerbang ke berbagai ancaman berbahaya, termasuk ransomware.
Aktivitas LemonDuck pertama kali terlihat di China pada Mei 2019, sebelum mulai mengadopsi umpan yang bertema COVID-19 dalam serangan email pada tahun 2020 dan bahkan kelemahan Server Exchange "ProxyLogon" yang baru-baru ini ditangani untuk mendapatkan akses ke sistem yang belum ditambal. Taktik lain yang perlu diperhatikan adalah kemampuannya untuk menghapus penyerang lain dari perangkat yang disusupi dengan menyingkirkan malware saingan dan mencegah infeksi baru dengan menambal kerentanan yang sama yang digunakan untuk mendapatkan akses.
Serangan yang menggunakan malware LemonDuck terutama difokuskan pada sektor manufaktur dan IoT, dengan AS, Rusia, Cina, Jerman, Inggris, India, Korea, Kanada, Prancis, dan Vietnam menjadi target utama.
Selain itu, Microsoft mencermati juga operasi entitas kedua yang mengandalkan LemonDuck untuk mencapai "tujuan terpisah/lain", yang diberi nama kode "LemonCat." Infrastruktur serangan yang terkait dengan varian "Cat" dikatakan telah muncul pada Januari 2021, yang mengarah pada penggunaannya dalam serangan yang mengeksploitasi kerentanan yang menargetkan Microsoft Exchange Server. Penyusupan berikutnya yang memanfaatkan domain Cat yang memasang backdoor, kredensial, dan pencurian data, serta pengiriman malware, sering kali merupakan trojan Windows yang disebut Ramnit.
sumber:
hacker news