Theo The Hacker News, để nâng cao hiệu quả của các chiến dịch, LemonDuck đã cải tiến và củng cố các kỹ thuật tấn công cả Windows và Linux bằng cách tập trung vào các lỗ hổng bảo mật trước đó và hợp lý hóa các quy trình .
Phần mềm độc hại được gọi là LemonDuck, một phần mềm độc hại hoạt động và mạnh mẽ nổi tiếng với các mục tiêu khai thác mạng botnet và tiền điện tử, đã thực hiện các hành động phức tạp hơn và tăng cường hoạt động của nó, theo Microsoft. Phiên bản mới nhất có thể loại bỏ kiểm tra bảo mật, lây lan qua e-mail, di chuyển ngang, lấy cắp thông tin đăng nhập và bỏ qua nhiều công cụ hơn cho các hoạt động do con người điều hành.
Phần mềm độc hại này được biết đến với khả năng lây lan nhanh chóng trên một mạng bị nhiễm để tạo điều kiện cho việc đánh cắp thông tin và chuyển đổi máy móc thành bot khai thác tiền điện tử bằng cách sử dụng tài nguyên máy tính để khai thác tiền điện tử bất hợp pháp. Cụ thể, LemonDuck hoạt động như một trình tải cho các cuộc tấn công tiếp theo liên quan đến việc đánh cắp thông tin đăng nhập và cài đặt các bộ phận cấy ghép cấp độ tiếp theo có thể đóng vai trò như một cổng cho một số mối đe dọa, trong đó quan trọng nhất là ransomware.
Một chiến thuật đáng chú ý khác là khả năng “loại bỏ những kẻ tấn công bổ sung khỏi một thiết bị bị xâm nhập bằng cách xóa phần mềm cạnh tranh và ngăn chặn sự lây nhiễm mới bằng cách sửa các lỗ hổng mà kẻ tấn công có thể truy cập.”
LemonDuck đã được sử dụng bởi tội phạm mạng ở nhiều quốc gia trên thế giới
Các cuộc tấn công sử dụng phần mềm độc hại LemonDuck chủ yếu nhắm vào các ngành công nghiệp sản xuất và IoT, với hầu hết các cuộc tấn công xảy ra ở Nga, Hàn Quốc, Trung Quốc, Pháp, Đức, Ấn Độ, Canada, Việt Nam và Hoa Kỳ. Hơn nữa, Microsoft đã tiết lộ các hoạt động của một thực thể thứ hai, LemonCat, sử dụng LemonDuck để thực hiện các mục tiêu khác nhau.
Theo báo cáo, kiến trúc tấn công Cat xuất hiện vào khoảng tháng 1 năm 2021 và cuối cùng dẫn đến các cuộc tấn công khai thác lỗ hổng trong Microsoft Exchange Server. Việc giả mạo sau đó đối với việc sử dụng các miền Cat đã dẫn đến việc cài đặt các cửa hậu, thông tin xác thực và đánh cắp dữ liệu, cũng như triển khai phần mềm độc hại, thường là Trojan Windows có tên là Ramnit .
Microsoft tiếp tục nói rằng chỉ vì cơ sở hạ tầng Cat được sử dụng cho các cuộc tấn công phá hoại hơn không cho thấy rằng việc lây nhiễm phần mềm độc hại sử dụng cơ sở hạ tầng Duck ít nghiêm trọng hơn. Thay vào đó, thông tin này cung cấp bối cảnh quan trọng để hiểu được mối đe dọa này: các công cụ, điểm truy cập và quy trình giống nhau có thể được sử dụng trong các khoảng thời gian thay đổi, dẫn đến thiệt hại tổng thể lớn hơn dự đoán trước đây.
Nguồn: https://news.softpedia.com/
