Исследователи изучили последние действия хакерской группы Lemon Duck, включая использование уязвимостей Microsoft Exchange Server и использование доменов верхнего уровня.

Активное использование zero-day уязвимостей Microsoft Exchange Server, известных как ProxyLogon, стало катастрофой для безопасности тысяч организаций. В марте были доступны исправления, средства обнаружения уязвимостей и инструкции по их устранению, и по оценкам экспертов, до 60 000 организаций могли быть скомпрометированы в ходе использования этих уязвимостей.  В конце марта Microsoft сообщила, что ботнет Lemon Duck эксплуатирует уязвимые серверы и использует системы для добычи криптовалюты.

Теперь исследователи из Cisco Talos более тщательно исследовали текущую тактику кибератак.

Операторы Lemon Duck внедряют новые инструменты, чтобы «максимизировать эффективность своих кампаний», ориентируясь на уязвимости в Microsoft Exchange Server, а данные телеметрии после DNS-запросов к доменам Lemon Duck указывают на то, что активность кампании в апреле резко возросла.  Большинство запросов поступило из США, за которыми следуют Европа и Юго-Восточная Азия. Существенный всплеск запросов к одному домену Lemon Duck также был отмечен в Индии.

Операторы Lemon Duck используют автоматизированные инструменты для сканирования, обнаружения и использования серверов перед загрузкой полезных данных, таких как DNS-маяки Cobalt Strike и веб-оболочки, которые запускают программное обеспечение для майнинга криптовалюты и дополнительные вредоносные программы.

Вредоносные программы и связанные с ними сценарии PowerShell также пытаются удалить антивирусные продукты, такие как ESET и Kaspersky, и останавливают любые службы, включая Центр обновления Windows и Защитник Windows, которые мешают попытке заражения. А в недавних кампаниях утилита CertUtil использовалась для загрузки двух новых сценариев PowerShell, которые удаляли продукты AV, сохраняли и загружали майнер криптовалюты XMRig.

Конкурирующие майнеры криптовалюты также подлежали удалению. SMBGhost и Eternal Blue использовались в прошлых кампаниях, но, как показывает использование уязвимости Microsoft Exchange Server, тактика группы постоянно меняется, чтобы оставаться на шаг впереди конкурентов.

Lemon Duck также создает ложные домены верхнего уровня (TLD) для Китая, Японии и Южной Кореи, чтобы попытаться скрыть инфраструктуру центра управления (C2). «Учитывая, что эти TLD чаще всего используются для веб-сайтов в своих странах и на соответствующих языках, также интересно, что они использовались, и не более глобальных TLD, такие как «.com» или «.net», - отмечает Cisco Talos. «Это может позволить злоумышленнику более эффективно скрывать связь C2 среди прочего веб-трафика, присутствующего в системе жертвы».

«Использование новых инструментов, таких как Cobalt Strike, а также реализация дополнительных методов обфускации на протяжении всего жизненного цикла атаки, может позволить им работать более эффективно в течение более длительных периодов времени в системе жертвы», - говорят исследователи.