Un nouveau botnet composé de serveurs Microsoft Exchange compromis exploite la crypto-monnaie pour ses opérateurs, suggèrent des rapports.
Selon des chercheurs de la société de sécurité CrowdStrike, un acteur malveillant inconnu utilise le botnet de crypto-minage LemonDuck pour cibler des serveurs via ProxyLogon.
En recherchant les API Docker exposées pour un accès initial, les attaquants peuvent exécuter un conteneur malveillant en utilisant un Docker ENTRYPOINT personnalisé pour télécharger un fichier image "core.png", qui déguise un script Bash.
Monero minier
Après avoir obtenu l'accès initial, les attaquants peuvent prendre un certain nombre d'actions : abuser d'EternalBlue, BlueKeep ou d'exploits similaires pour élever les privilèges, installer des cryptomineurs et se déplacer latéralement à travers des réseaux compromis.
Ils peuvent également installer des fichiers qui leur permettent d'échapper à la détection par tout antivirus ou logiciel d'analyse de logiciels malveillants installé sur les terminaux compromis.
De tous les différents crypto-mineurs, les attaquants utilisent principalement XMRig pour exploiter Monero, une crypto-monnaie axée sur la confidentialité qui serait plus difficile à tracer.
Les chercheurs ont en outre expliqué que LemonDuck est livré avec un fichier appelé "a.asp", qui a la capacité de désactiver le service cloud aliyun d'Alibaba et ainsi d'échapper à la détection.
Quant à savoir pourquoi la campagne est passée inaperçue plus tôt, les chercheurs ont noté que les acteurs de la menace ne scannaient pas en masse les plages d'adresses IP publiques à la recherche de surfaces d'attaque exploitables, mais se déplaçaient côte à côte à travers LemonDuck, à la recherche d'indices. . Une fois qu'ils ont trouvé les clés SSH, ils les utilisent pour se connecter aux serveurs et exécuter tous les scripts malveillants susmentionnés.
Les mineurs de crypto sont devenus extrêmement populaires ces dernières années, la hausse du prix des crypto-monnaies et la facilité avec laquelle elles peuvent être vendues sur le marché attirant l'attention des acteurs honnêtes et malhonnêtes.