Le botnet de canard au citron fait de nouveau des charlatans avec de nouveaux TTP

  • FrançaisFrançais



  • C’est une pratique courante pour les groupes cybercriminels de ralentir pendant un certain temps ou d’annoncer un arrêt des opérations pour ne revenir que plus forts. Des chercheurs en sécurité ont récemment découvert un botnet d’extraction de crypto-monnaie Canard au citron, qui est resté inactif pendant des mois, effectuant à nouveau des tours en ajoutant de nouveaux exploits offensifs dans son arsenal. Selon des chercheurs de Cisco Talos, Lemon Duck a ajouté un ensemble de ProxyLogon exploits et cibler des serveurs Microsoft Exchange non corrigés.

    Cisco Talos a affirmé avoir découvert des tactiques, techniques et procédures (TTP) mises à jour et de nouveaux composants liés au groupe de botnet Lemon Duck. Le groupe d’acteurs menaçants a également ajouté le cadre d’attaque Cobalt Strike dans sa boîte à outils contre les logiciels malveillants. Le groupe exploite désormais de faux domaines sur les domaines de premier niveau (TLD) d’Asie de l’Est pour masquer l’infrastructure de commande et de contrôle (C2).

    Domaines de canard au citron nouvellement identifiés:

    • hwqloan.com
    • hwqloan.com
    • ouler.cc
    • jusanrihua.com

    Principales conclusions

    • Lemon Duck continue d’affiner et d’améliorer ses tactiques, techniques et procédures tout en essayant de maximiser l’efficacité de ses campagnes.
    • Le groupe reste pertinent alors que les opérateurs commencent à cibler les serveurs Microsoft Exchange, exploitant des vulnérabilités de sécurité de haut niveau pour abandonner des web shells et mener des activités malveillantes.
    • Lemon Duck continue d’incorporer de nouveaux outils, tels que Cobalt Strike, dans sa boîte à outils contre les logiciels malveillants.
    • Des techniques d’obfuscation supplémentaires sont désormais utilisées pour rendre l’infrastructure associée à ces campagnes plus difficile à identifier et à analyser.
    • L’utilisation de faux domaines sur les domaines de premier niveau (TLD) d’Asie de l’Est masque les connexions à l’infrastructure de commande et de contrôle (C2) réelle utilisée dans ces campagnes.
    • Les opérateurs de Lemon Duck ont ​​déjà utilisé plusieurs exploits pour des vulnérabilités, telles que SMBGhostet Bleu éternel, et semblent implémenter un nouveau code d’exploitation et cibler des vulnérabilités logicielles supplémentaires

    «Lemon Duck continue de lancer des campagnes contre des systèmes du monde entier, tentant d’exploiter les systèmes infectés pour exploiter la crypto-monnaie et générer des revenus pour l’adversaire derrière ce botnet. L’utilisation de nouveaux outils comme Cobalt Strike, ainsi que la mise en œuvre de techniques d’obfuscation supplémentaires tout au long du cycle de vie de l’attaque, peuvent leur permettre de fonctionner plus efficacement pendant de plus longues périodes dans les environnements victimes », a déclaré Cisco Talos.

    Récemment, le géant de la technologie Microsoft a affirmé que Lemon Duck ciblait ses serveurs Exchange pour installer des logiciels malveillants d’extraction de crypto-monnaie et un chargeur de logiciels malveillants utilisé pour fournir des charges utiles de logiciels malveillants secondaires comme des voleurs d’informations. Lemon Duck a ciblé les vulnérabilités, pour lesquelles Microsoft a publié des correctifs, notamment CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065.

    «Lemon Duck s’est plongé dans l’action d’exploitation d’Exchange, en adoptant différents styles d’exploit et en choisissant d’utiliser une option sans fichier / sans shell Web de commandes PowerShell directes de w3wp (le processus de travail IIS) pour certaines attaques. Tout en conservant leurs campagnes par courrier électronique normales, les opérateurs de Lemon Duck ont ​​compromis de nombreux serveurs Exchange et se sont orientés davantage vers un chargeur de logiciels malveillants qu’un simple mineur », a déclaré Microsoft.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *