Microsoft alerta sobre una nueva campaña de malware (botnet) “LemonDuck”, la cual utiliza múltiples mecanismos de acción y vulnerabilidades conocidas como ProxyLogon para lograr su objetivo en equipos Windows y Linux, poniendo especial énfasis en redes empresariales y sector IoT, donde ya ha afectado principalmente a Asia, diferentes sectores de Norteamérica y Europa, los que cuentan con gran cantidad de equipos y poder de procesamiento.
Fuente: https://www.microsoft.com/
Malware Lemon Duck
LemonDuck fue descubierto por primera vez el 2019 en China y actualmente continúa operando activamente, donde ha intensificado sus operaciones y evolucionado desde un botnet de criptomonedas a un robusto malware capaz de robar credenciales, eliminar controles de seguridad (AV) y propagarse a través de correos electrónicos o exploits, entre los que destacan “EthernalBlue” y “ProxyLogon (ambas de gran criticidad) usadas tanto para su acceso inicial como para elevación de privilegios y movimientos laterales, donde en última instancia, es posible comprometer el equipo con herramientas que permiten el control humano cuando el acceso automatizado ha concluido.
Acceso inicial y elevación de privilegios
Se realiza mediante diferentes vías como correos de phishing, exploits, dispositivos USB y ataques fuerza bruta, entre otros, mientras que las nuevas actualizaciones de malware comprometen también equipos Linux con sus respectivas vulnerabilidades ejecutándose en memoria caché y no en disco duro de servidores, evitando así ser detectado, lo cual si resulta exitoso, procede con descarga y ejecución de ShellCode maliciosa.
Otra forma de ganar acceso y privilegios consiste en incluir malware dentro de herramientas de parchado de ProxyLogon facilitadas por Microsoft como parte del proceso oficial de mitigación.
Movimiento lateral
Al igual que en el acceso inicial, para esta instancia se utilizan las mismas técnicas y vulnerabilidades, sin embargo, para su propagación se autoenvia como correos de phishing a contactos filtrados de usuarios ya vulnerados, dado que actualmente Lemon Duck no solo se compone de botnet, sino también de filtración de credenciales, facilitando el proceso de autenticación.
Persistencia
Para este punto se utiliza en primera instancia el reconocimiento y la eliminación de posibles malwares pre-existentes en el equipo de modo que no se compartan recursos con otros ciberactores, para luego ofuscar AV excluyendo el análisis disco C:\ en su totalidad (ruta donde se alojan sus componentes de malware), para finalizar parchando la vulnerabilidad explotada con dos objetivos principales primero, ofuscar acceso para futuros atacantes y segundo, para que los operadores no se den cuenta de la vulnerabilidad existente, pudiendo pasar por alto su revisión, u obviando que vulnerabilidad no fue explotada.
Con ambas técnicas se evita además una alta cantidad de tráfico hacia destinos maliciosos que pudieran ser fácilmente identificados por un SOC.
En todo el proceso es posible identificar los mecanismo de acción de Lemon Duck mediante 8 CVE conocidos, entre los que afectan servicios como SMB, Exchange, SQL, Hadoop, REDIS, RDP detallados a continuación:
Microsoft, además, ha identificado dos estructuras de funcionamiento:
Panorama
De momento el panorama de amenazas, referente a Lemon Duck, no se encuentra centrado en Sudamérica, sin embargo, su reciente reaparición y evolución deja en evidencia campañas activas con constante crecimiento, desarrollo y aumento de objetivos obteniendo más y nuevas formas de monetizar sus ataques suponiendo una amenaza latente para nuevas áreas geográficas aún no explotadas y que si presentan equipamiento tecnológico moderno con sectores industriales desarrollados como es el caso de Brasil, Argentina y Chile, entre otros, por lo que no se descarta que pueda afectar el panorama local en un futuro.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
https://www.microsoft.com/security/blog/20... |
Tipo | Indicador |
---|---|
Duck Domain | . |
url | ackng.com |
url | bb3u9.com |
url | ttr3p.com |
url | zz3r0.com |
url | sqlnetcat.com |
url | netcatkit.com |
url | hwqloan.com |
url | 75.ag |
url | js88.ag |
url | qq8.ag |
CAT Domain | . |
url | sqlnetcat.com |
url | netcatkit.com |
url | down.sqlnetcat.com |