بدافزار توسعه یافته مخرب Lemon Duck در کمین بی دقتیهای امنیتی
بدافزار لمون داک مکانیزمهای امنیتی ناقص را دور زده و به اجرای محصولات امنیتی خاتمه میدهد.
به گزارش پایگاه خبری بانکداری الکترونیک، به نقل از روابط عمومی مرکز مدیریت راهبردی افتا، نمونههای جدید بدافزار Lemon Duck با استفاده از دستور ویندوزی certutil و کدهای اجرایی مخرب، بر روی دیسک ذخیره و در ادامه با استفاده از PowerShell اجرا میشوند.
یکسان بودن نام کاربری و رمز عبور ایجاد شده در فرمانها با حسابهای کاربری ساخته شده در حملات مبتنی بر دستور ویندوزی certutil ، به همراه عواملی دیگر موجب شده است که گردانندگان همه این حملات، یک فرد یا گروه تلقی شوند.
مهاجمان در کمپین بدافزارLemon Duck با استفاده از ProxyLogon برای استخراج ارز دیجیتال به اهداف خود نفوذ میکنند و برخی از سرورهای ایرانی را نیز هدف قرار داده اند.
شرکت امنیتیSophos اعلام کرده است که نسخه جدید بدافزار لمون داک، برای ماندگاری بر روی سیستم ها، ماینر را بعنوان سرویس ویندوزی نصب میکند و آلودگی را در سطح شبکه گسترش میدهد.
مهاجمان سایبری همچنین با استفاده از تیم بدافزار، حساب کاربری با قابلیت دسترسی از راه دور، در سرورهای قربانی ایجاد و به خوبی از سرورهای آسیبپذیر Exchange سوءاستفاده میکنند.
کارشناسان مرکز مدیریت راهبردی افتا میگویند: در صورت مجهز بودن محصول امنیتی به قابلیت حفاظت از دستکاری (Tamper Protection)، تکنیکهای مهاجمان لمون داک، بیثمر خواهند بود.
مشروح اطلاعات فنی، نشانههای آلودگی سرورهای قربانی شده و لینک دسترسی به گزارش شرکت امنیتی Sophos در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به آدرس: https://www.afta.gov.ir/portal/home/?news/235046/237266/243696/ قابل دریافت و مطالعه است.