Согласно сообщениям, новый ботнет, состоящий из взломанных серверов Microsoft Exchange, занимается добычей криптовалюты для своих операторов.
По словам исследователей охранной фирмы CrowdStrike, неизвестный злоумышленник использует ботнет для майнинга криптовалют LemonDuck для атаки на серверы через ProxyLogon.
Путем поиска открытых API-интерфейсов Docker для начального доступа злоумышленники могут запустить вредоносный контейнер, используя пользовательскую ENTRYPOINT Docker для загрузки файла изображения «core.png», который маскирует сценарий Bash.
майнинг монеро
Получив первоначальный доступ, злоумышленники могут предпринять ряд действий: злоупотребить EternalBlue, BlueKeep или аналогичными эксплойтами для повышения привилегий, установить криптомайнеры и перемещаться по скомпрометированным сетям.
Они также могут устанавливать файлы, которые позволяют им избежать обнаружения любым антивирусным программным обеспечением или программным обеспечением для сканирования вредоносных программ, установленным на скомпрометированных конечных точках.
Из всех различных крипто-майнеров злоумышленники в основном используют XMRig для майнинга Monero, криптовалюты, ориентированной на конфиденциальность, которую будет сложнее отследить.
Исследователи также пояснили, что LemonDuck поставляется с файлом под названием «a.asp», который может отключить облачный сервис Aliyun от Alibaba и, таким образом, избежать обнаружения.
Что касается того, почему кампания осталась незамеченной ранее, исследователи отметили, что злоумышленники не сканировали в массовом порядке диапазоны общедоступных IP-адресов в поисках уязвимых поверхностей для атак, а вместо этого перемещались бок о бок через LemonDuck в поисках улик. . Как только они находят ключи SSH, они используют их для подключения к серверам и выполнения всех вышеупомянутых вредоносных сценариев.
В последние годы крипто-майнеры стали чрезвычайно популярны, а подорожание криптовалют и легкость их продажи на рынке привлекли внимание как честных, так и нечестных игроков.
