کمیته رکن چهارم – مهاجمان در کمپین بدافزار لمون داک و با استفاده از یک پروکسی استخراج ارز دیجیتال به اهداف خود نفوذ میکنند و برخی از سرورهای ایرانی را نیز هدف قرار دادهاند.
بدافزار لمون داک مکانیزمهای امنیتی ناقص را دور زده و به اجرای محصولات امنیتی خاتمه میدهد. نمونههای جدید بدافزار Lemon Duck با استفاده از دستور ویندوزی certutil و کدهای اجرایی مخرب، روی دیسک ذخیره و در ادامه با استفاده از PowerShell اجرا میشوند.
یکسان بودن نام کاربری و رمز عبور ایجادشده در فرمانها با حسابهای کاربری ساختهشده در حملات مبتنی بر دستور ویندوزی certutil، به همراه عواملی دیگر موجب شده است که گردانندگان همه این حملات، یک فرد یا گروه تلقی شوند. مهاجمان در کمپین بدافزار Lemon Duck با استفاده از ProxyLogon برای استخراج ارز دیجیتال به اهداف خود نفوذ میکنند و برخی از سرورهای ایرانی را نیز هدف قرار دادهاند.
شرکت امنیتی Sophos اعلام کرده است که نسخه جدید بدافزار لمون داک، برای ماندگاری روی سیستمها، ماینر را بهعنوان سرویس ویندوزی نصب میکند و آلودگی را در سطح شبکه گسترش میدهد. مهاجمان سایبری همچنین با استفاده از تیم بدافزار، حساب کاربری با قابلیت دسترسی از راه دور، در سرورهای قربانی ایجاد و بهخوبی از سرورهای آسیبپذیر Exchange سوءاستفاده میکنند.
در صورت مجهز بودن محصول امنیتی به قابلیت حفاظت از دستکاری (Tamper Protection)، تکنیکهای مهاجمان لمون داک، بیثمر خواهند بود.
منبع : ایتنا
