В отчетах говорится, что новый ботнет, состоящий из взломанных серверов Microsoft Exchange, занимается добычей криптовалюты для своих операторов.
По данным исследователей охранной компании CrowdStrike, неизвестный злоумышленник использует ботнет для майнинга криптовалют LemonDuck для атаки на серверы через ProxyLogon.
Выполняя поиск открытых API-интерфейсов Docker для первоначального доступа, злоумышленники могут запустить вредоносный контейнер, используя специальную ENTRYPOINT Docker для загрузки файла изображения «core.png», который маскирует сценарий Bash.
майнер Монеро
Получив первоначальный доступ, злоумышленники могут выполнить ряд действий: использовать EternalBlue, BlueKeep или аналогичные эксплойты для повышения привилегий, установить криптомайнеры и перемещаться по скомпрометированным сетям.
Они также могут устанавливать файлы, которые позволяют им уклоняться от обнаружения любым антивирусным программным обеспечением или программным обеспечением для сканирования вредоносных программ, установленным на скомпрометированных конечных точках.
Из всех криптомайнеров злоумышленники в основном используют XMRig для майнинга Monero, криптовалюты, ориентированной на конфиденциальность, которую сложнее отследить.
Исследователи также пояснили, что LemonDuck поставляется с файлом под названием «a.asp», который позволяет отключить облачный сервис Aliyun от Alibaba и, следовательно, избежать обнаружения.
Что касается того, почему кампания раньше оставалась незамеченной, исследователи отметили, что злоумышленники не сканировали диапазоны общедоступных IP-адресов в массовом порядке на предмет возможных поверхностей атаки, а скорее перемещались из стороны в сторону через LemonDuck в поисках ключей.SSH в файл система. Найдя ключи SSH, они используют их для подключения к серверам и выполнения всех вышеупомянутых вредоносных сценариев.
Криптомайнеры стали чрезвычайно популярны в последние годы, поскольку рост цен на криптовалюты и легкость их продажи на рынке привлекают внимание честных и нечестных игроков.