freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Lemon Duck复苏,重点瞄准政府与零售
2020-10-17 18:32:16

Cisco Talos 最近检测到与加密货币挖掘僵尸网络 Lemon Duck 相关的活动较为频繁,本次攻击行动主要针对政府、零售与科技等行业。

攻击者使用各种技术进行恶意软件的传播,比如通过使用电子邮件、psexec、WMI、SMB 漏洞或者发送恶意 RTF 文件等。此外,攻击者还大量利用包括臭名昭著的 Eternal Blue 和 SMBGhost 漏洞,这些漏洞广泛影响 Windows 计算机。 还有一些变种带有 RDP 暴力破解功能,包括使用 Mimikatz 等开源工具。

Lemon Duck

Lemon Duck 是一个可自传播的僵尸网络,主要目的是挖掘门罗币,使用的矿机是 XMR 的修改版。

Lemon Duck 是最复杂的挖矿僵尸网络之一,会使用各种不同的方法和技术来掩盖恶意操作行为。

根据思科的分析报告,Lemon Duck 最近又恢复了活跃状态。

更新

自从 2018 年 12 月出现以来,Lemon Duck 一直保持着更新与活跃。2020 年 8 月底,Lemon Duck 的活动明显增加了。

感染载体

思科分析确认了 12 种独立的感染载体,包括通过 SMB 共享、Redis 漏洞等方式。

Lemon Duck 用于采矿的 GPU

  • GTX
  • NVIDIA
  • GEFORCE
  • AMD
  • RADEON

模块化加载

Lemon Duck 的主程序会检查用户权限以及相关环境信息,比如显卡的类型等。如果未能发现 GPU 则执行 XMRig 的 CPU 模式进行挖矿。

此外 Lemon Duck 还使用了传播模块、使用 Pyinstaller 打包的 Python 模块、破坏其他竞争对手的模块等。

开源项目

Lemon Duck 广泛使用了大量的开源 PowerShell 项目来实现自己的功能。

Invoke-TheHash by Kevin Robertson

Invoke-EternalBlue PowerShell EternalBlue port

BlueKeep RCE exploit (CVE- 2019-0708) PowerShell port

Powersploit’s reflective loader by Matt Graeber

Modified Invoke-Mimikatz PowerShell module

IOC

t[.]amynx[.]com
t[.]zer9g[.]com
p[.]b69kq[.]com
lplp[.]ackng[.]com
d[.]ackng[.]com
w[.]zz3r0[.]com
info[.]amynx[.]com
info[.]ackng[.]com
info[.]zz3r0[.]com
t[.]jdjdcjq[.]top
p[.]awcna[.]com
t[.]zer2[.]com
t[.]tr2q[.]com

172[.]104[.]7[.]85
66[.]42[.]43[.]37
207[.]154[.]225[.]82
161[.]35[.]107[.]193
167[.]99[.]154[.]202
139[.]162[.]80[.]221
128[.]199[.]183[.]160
128[.]199[.]188[.]255
167[.]71[.]158[.]207

参考来源

GBHackers
TalosIntelligence

本文作者:, 转载请注明来自FreeBuf.COM

# 僵尸网络 # 挖矿 # 门罗币 # LemonDuck
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑