کمیته رکن چهارم – گردانندگان Lemon Duck با سوءاستفاده از آسیبپذیریهای ProxyLogon پس از هک سرورهای آسیبپذیر Exchange اقدام به گسترش شبکه مخرب خود و استخراج رمزارز با استفاده از منابع دستگاههای آلوده شده میکنند.
در جریان این حملات ابزارهایی که وظیفه آن استخراج ارز رمز مونرو است بر روی دستگاههای هک شده اجرا میشود. دامنه این حملات بسیار گسترده گزارش شده است. در رمزارزها (Cryptocurrency)، فرایندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلیترین وظایف آن تأیید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرایند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. درنتیجه شبکه رمزارز نیز در قبال تلاشی که برای این پردازشها انجام میشود به استخراجکنندگان پاداشی اختصاص میدهد. از همین رو، برخی افراد نیز با بکارگیری برنامههای استخراجکننده (Miner) تلاش میکنند تا در ازای استخراج ارز رمز، مشمول پاداش شبکه ارز رمز شوند. اما با توجه به نیاز به توان پردازش بالا، انجام استخراج میتواند یک سرمایهگذاری هزینهبر برای استخراجکننده باشد. به همین خاطر در حملات موسوم به رمزربایی (Cryptojacking)، استخراجکننده بدخواه با آلوده کردن دستگاه دیگران به بدافزارهای ویژه استخراج، از توان پردازشی آنها به نفع خود بهرهگیری میکند. در حقیقت در رمز ربایی، این مهاجمان هستند که همه منافع حاصل از استخراج را بدون هر گونه سرمایهگذاری کسب میکنند؛ در حالی که دستگاه قربانی انجامدهنده امور اصلی بوده است.
در حملات اخیر Lemon Duck مهاجمان با استفاده از وبشلهایی که بر روی سرورهای آلوده MS Exchange توزیع شده اقدام به دریافت کد مخرب از نشانیهای p.estonine[.]com و cdn.chatcdn[.]net میکنند. در حملات قبلی Lemon Duck، مهاجمان با بهکارگیری Exploit-kit (بسته بهرهجوی) EternalBlue یا اجرای حملات موسوم به Brute-force ماشینهای Linux و سرورهای MS SQL را هدف قرار میدادند.
Lemon_Duck آلودهسازی سرورهای Redis و کلاسترهای Hadoop مبتنی بر YARN را نیز در کارنامه دارد.
در مواردی هم گردانندگان Lemon Duck در کارزارهای هرزنامهای با بهرهگیری از موضوعات مرتبط با کووید-۱۹ و با سوءاستفاده از آسیبپذیری CVE-۲۰۱۷-۸۵۷۰ دستگاه کاربران ناآگاه را آلوده به بدافزارهای خود میکردند. CVE-۲۰۱۷-۸۵۷۰ ضعفی از نوع RCE است که مجموعه نرمافزاری Microsoft Office از آن متأثر میشود.
Lemon Duck یکی از پیشرفتهترین شبکههای مخرب رمز ربایی (Cryptojacking Botnet) شناخته میشود. ProxyLogon که به تازگی به استخدام Lemon_Duck در آمده مجموعه آسیبپذیریهایی در سرویسدهنده ایمیل MS Exchange است که مایکروسافت (Microsoft, Corp) در ۱۲ اسفند اصلاحیههایی اضطراری برای ترمیم آنها منتشر کرد.
پیش از در دسترس قرار گرفتن اصلاحیههای مذکور حداقل یک گروه از مهاجمان در حملات خود از ProxyLogon سوءاستفاده کرده بودند. از زمان انتشار اصلاحیهها و افشای جزییات آن، هکرهای مستقل و گردانندگان APT متعددی، ProxyLogon را به فهرست تکنیکهای نفوذ خود اضافه کردهاند.
منبع : مرکز مدیریت راهبردی افتا
