Jak złośliwe oprogramowanie LemonDuck atakuje firmy i jak zachować ochronę?

Krajobraz zagrożeń bezpieczeństwa cybernetycznego znacznie się pogorszył od początku pandemii COVID-19. Firmy i przedsiębiorcy są narażeni na większe ryzyko niż kiedykolwiek wcześniej; w rzeczywistości, według AV-Test Institute of IT Security w Niemczech, w 2020 roku pojawiło się 137,7 miliona nowych próbek złośliwego oprogramowania. Do sierpnia 2021 r. znaleziono już 117 milionów nowych próbek złośliwego oprogramowania.

Jednak nie tak nowe złośliwe oprogramowanie ponownie pojawia się i atakuje komputery z systemem Windows. Nazywa się Złośliwe oprogramowanie LemonDuck i choć może brzmieć uroczo, jest przystosowane do kradzieży danych i uszkadzania Twojego systemy. Przyjrzyjmy się więc jego niebezpieczeństwu i temu, jak Ty lub Twoja firma możesz zachować ochronę.

Co to jest złośliwe oprogramowanie LemonDuck?

LemonDuck to aktywnie aktualizowane i solidne złośliwe oprogramowanie, które znajduje się na radarze cyberbezpieczeństwa od maja 2019 r. Po raz pierwszy zyskał niesławę za botnet oraz ataki na kopanie kryptowalut, które od tego czasu przekształciły się w wysoce wyrafinowane złośliwe oprogramowanie.

LemonDuck to wieloplatformowe zagrożenie, które atakuje zarówno urządzenia z systemem Windows, jak i Linux. Do rozprzestrzeniania się wykorzystuje wiele różnych wektorów ataku, takich jak wiadomości phishingowe, exploity, urządzenia USB i brutalna siła. Firma Microsoft ostrzegła, że ​​poza wykorzystywaniem zasobów do tradycyjnych działań związanych z botami i wydobyciem, LemonDuck może teraz ukraść Twoje dane uwierzytelniające i usunąć kontrolę bezpieczeństwa z Twoich systemów.

Nie przejmuje się granicami domen i porusza się poprzecznie między aplikacjami, punktami końcowymi, tożsamościami użytkowników i domenami danych. Może instalować narzędzia do przyszłych ataków prowadzonych przez ludzi, a obrona systemów może być trudna, jeśli nie wiesz, co robisz.

Dlaczego należy poważnie traktować zagrożenie LemonDuck

Na początku LemonDuck celował głównie w Chiny i nie posunął się dalej. Dziś jej działalność rozszerzyła się na kilka krajów: Stany Zjednoczone, Rosję, Chiny, Niemcy, Wielka Brytania, Indie, Korea, Kanada, Francja i Wietnam ucierpiały w ostatnim czasie najgorzej czasy.

LemonDuck infekuje systemy, podszywając się pod nieszkodliwe pliki, które widzimy na co dzień. Łatwo paść jego ofiarą, ponieważ wykorzystuje aktualne wiadomości, wydarzenia lub publikacje nowych exploitów, aby prowadzić skuteczne kampanie i zwabić swoje cele.

Na przykład, Post Microsoftu W dyskusji o złośliwym oprogramowaniu stwierdzono, że wykrył LemonDuck, używając przynęt związanych z COVID-19 w atakach e-mailowych w 2020 roku. W 2021 r. wykorzystał nowo załatane luki Exchange Server, aby uzyskać dostęp do przestarzałych systemów.

Co więcej, LemonDuck nie poprzestaje na wykorzystywaniu nowych lub popularnych luk w zabezpieczeniach. Jeśli Twoja organizacja ma w swoim systemie stare, niezałatane luki w zabezpieczeniach, LemonDuck może je wykorzystać, a Ty skupisz się na łataniu nowej luki zamiast naprawiania tego, co już wiadomo.

To, co sprawia, że ​​LemonDuck jest jeszcze bardziej niebezpieczne, to fakt, że nie toleruje żadnych innych atakujących wokół siebie. W rzeczywistości LemonDuck usuwa je z zaatakowanego urządzenia, pozbywając się konkurencyjnego złośliwego oprogramowania. Zapobiega również wszelkim nowym infekcjom, łatając te same luki, których użył do uzyskania dostępu.

Miej oko na złego bliźniaka LemonDuck, LemonCat

Zespół Microsoft 365 Defender Threat Intelligence Team ujawnił również w swoim raporcie infrastrukturę LemonCat. LemonCat również używa złośliwego oprogramowania LemonDuck, ale inna organizacja używa go do własnych celów.

Używa dwóch domen ze słowem „cat” w swoich domenach (sqlnetcat[.]com, netcatkit[.]com) i zaobserwowano, że wykorzystuje luki w Microsoft Exchange Server, gdy pojawił się w styczniu 2021 roku.

Powinieneś uważać na LemonCat, ponieważ jest on używany do niebezpiecznych operacji, które zagrażają Twoim danym i systemom. Obecnie hakerzy wykorzystują LemonCat do instalowania tylnych drzwi, kradzieży danych uwierzytelniających i danych oraz dostarczania złośliwego oprogramowania, takich jak trojan dla systemu Windows „Ramnit”.

Ale tylko dlatego, że LemonCat jest używany do bardziej niebezpiecznych ataków, nie oznacza, że ​​powinieneś traktować złośliwe oprogramowanie LemonDuck mniej poważnie. W rzeczywistości odkrycia te pokazują, jak niebezpieczne może być to podwójne zagrożenie dla urządzeń z systemem Windows. Atakujący mogą ponownie użyć tego samego zestawu narzędzi, dostępu i metod w dynamicznych odstępach czasu, aby wyrządzić większe szkody przedsiębiorstwu, niż przewidywano wcześniej.

Związane z: Dlaczego twórcy złośliwego oprogramowania atakują duże firmy?

Jak możesz zachować ochronę dzięki Microsoft 365 Defender

Mamy nadzieję, że masz już system, który może chronić Cię przed zagrożeniami cyberbezpieczeństwa. Na przykład możesz mieć już skuteczne oprogramowanie antywirusowe i zainstalowane narzędzia bezpieczeństwa w swoich systemach. Jeśli nie, rozważ zakup usługi Microsoft 365 Defender, jeśli potrzebujesz ochrony na poziomie przedsiębiorstwa.

Microsoft 365 Defender to ujednolicony pakiet ochrony dla przedsiębiorstw, który obejmuje program Microsoft Defender for Endpoint firmy Microsoft Defender dla Office 365, Microsoft Defender dla tożsamości i rozwiązania Microsoft Cloud App Security.

Usługa Microsoft 365 Defender może pomóc w wykrywaniu zagrożeń bezpieczeństwa, badaniu ataków na organizację i automatycznym zapobieganiu szkodliwym działaniom. To zintegrowane rozwiązanie do wykrywania zagrożeń międzydomenowych i reagowania na nie zapewnia Twojej organizacji skoordynowaną i automatyczną ochronę w celu blokowania zagrożeń, zanim staną się atakami.

Wiodące w branży zabezpieczenia oparte na sztucznej inteligencji mogą pomóc w przezwyciężeniu szerokich i wyrafinowanych zagrożeń LemonDuck. Dobrym przykładem jest Microsoft 365 Defender dla Office 365, który wykrywa złośliwe wiadomości e-mail wysyłane przez botnet LemonDuck w celu dostarczania szkodliwego oprogramowania wywołującego szkody.

Z drugiej strony Microsoft Defender for Endpoint wykrywa i blokuje implanty LemonDuck, ładunki i złośliwą aktywność na urządzeniach z systemem Linux i Windows.

Dzięki usłudze Microsoft 365 Defender masz rozbudowane narzędzia dochodzeniowe, których Twój zespół ds. zabezpieczeń może użyć do ujawnienia wykrytych działań LemonDuck. Analizuje i normalizuje alerty i powiązane zdarzenia oraz łączy je w incydenty, aby zapewnić pełny widok i kontekst ataku — wszystko w jednym pulpicie nawigacyjnym.

Co więcej, ujawnia nawet próby złamania zabezpieczeń i zdobycia przyczółka w sieci, dzięki czemu zespoły ds. bezpieczeństwa mogą skutecznie i pewnie reagować na te ataki i je rozwiązywać.

Jak wdrożyć usługę Microsoft 365 Defender w swoim przedsiębiorstwie

Zgodnie z urzędnikiem Dokumentacja Microsoft 365 Defender, włącza się automatycznie, gdy uprawniony klient z wymaganymi uprawnieniami odwiedzi portal Microsoft 365 Defender.

Możesz korzystać z usługi Microsoft 365 Defender bez dodatkowych kosztów, jeśli masz licencję na usługę Microsoft 365 produkt zabezpieczający, taki jak Microsoft 365 E5 lub A5, Windows 10 Enterprise E5 lub A5 oraz Office 365 E5 lub A5.

Co jeszcze można zrobić, aby utrzymać LemonDuck w zatoce?

Możesz również zastosować pewne środki łagodzące, aby wzmocnić swoją obronę i zmniejszyć wpływ złośliwego oprogramowania LemonDuck.

1. Regularnie skanuj swoje urządzenia USB i wymienne urządzenia pamięci masowej i blokuj je na wrażliwych urządzeniach. Powinieneś także wyłączyć automatyczne uruchamianie i włączyć ochronę antywirusową w czasie rzeczywistym.
2. Uważaj na podejrzane e-maile. LemonDuck używa ataków e-mailowych na tematy takie jak „Prawda o COVID-19”, „HALTH ADVISORY: CORONA VIRUS”, „Co do cholery”, „To jest twoje zamówienie?” i więcej. Istnieją trzy rodzaje załączników używanych do tych przynęt: .doc, .js lub .zip zawierający a. plik. Niezależnie od typu plik nosi nazwę „readme”. Czasami wszystkie trzy znajdziesz w tym samym e-mailu.
3. Zachęcaj do korzystania z przeglądarek internetowych, które obsługują SmartScreen w Twojej organizacji. SmartScreen identyfikuje i blokuje złośliwe witryny internetowe, w tym witryny wyłudzające informacje, witryny oszustw oraz witryny zawierające exploity i hostujące złośliwe oprogramowanie.

Istnieją inne ważne zalecenia dotyczące łagodzenia skutków, o których możesz przeczytać w Część 2 serii blogów Microsoft. Znajdziesz tam również dogłębną analizę techniczną złośliwych działań, które następują po infekcji LemonDuck i uzyskasz wskazówki dotyczące badania ataków LemonDuck.

Chroń swoją organizację

LemonDuck i LemonCat to zagrożenia, które powinieneś traktować poważnie. Ciągle ewoluujące, wieloskładnikowe złośliwe oprogramowanie, takie jak te, może opracować nowe sposoby uzyskiwania dostępu do urządzeń z systemem Windows i zasobów biznesowych oraz szkodzenia im.

Możesz jednak zachować ochronę, pozostając czujnym i na bieżąco oraz dokonując mądrych wyborów. Na przykład wdrożenie niezawodnego narzędzia zabezpieczającego, takiego jak Microsoft 365 Defender, aby umożliwić zespołowi ds. zabezpieczeń wykrywanie, analizowanie i eliminowanie zagrożeń, zanim zaszkodzą.

Czy złośliwe oprogramowanie może oszukać Twój program antywirusowy, aby ominąć ochronę przed ransomware?

Oprogramowanie antywirusowe nie zawsze zatrzymuje oprogramowanie ransomware. Oto jak cyberprzestępcy to omijają i co możesz z tym zrobić.

Czytaj dalej

O autorze