مرکز آپا دانشگاه کردستان

انتشار نسخه جدید بدافزار LemonDuck و حمله به سیستم‌عامل‌های ویندوز و لینوکس

اخیراً نسخه جدیدی از LemonDuck توسط متخصصان امنیتی مایکروسافت کشف شده است که این نسخه جدید اکنون می‌تواند داده‌ها را سرقت کند، درب‌پشتی ایجاد کرده و فعالیت‌های مخرب مختلفی را در سیستم‌های آسیب‌پذیر انجام دهد. طبق بررسی تیم Microsoft 365 Defender Threat Intelligence این نسخه جدید LemonDuck در مقایسه با نسخه قدیمی کاملاً خطرناک‌تر است. در این نسخه هر کاربر باید با تدابیر امنیتی آشنا باشد زیرا تا زمانی که کاربران ابتدایی‌ترین اقدامات امنیتی را اتخاذ نکنند، به اهداف مهاجمان تبدیل می شوند. این نسخه جدید دارای عملکرد مخربی است که بر سیستم‌عامل لینوکس هم تأثیر می گذارد و دارای ویژگی‌های کاملاً جدیدی است که شامل: • سرقت اعتبار (مدارک) • غیرفعال کردن کنترل های امنیتی • گسترش ایمیل های فیشینگ • نصب درب‌پشتی برای حملات آینده. زیرساخت های LemonDuck و LemonCat LemonDuck ابتدا در ماه مه 2019 برای اجرای یک کمپین استخراج رمز ارز شناسایی شد و نام خود را از متغیر "Lemon_Duck" در یکی از اسکریپت های ارائه شده PowerShell گرفته است. علاوه بر این، کارشناسان دانستند که LemonDuck به طور کلی اطلاعات (محتوا) منبع باز را به کار می گیرد که بصورت آزاد در دسترس است،نه تنها این بلکه توسط سایر بات نت ها نیز استفاده می شود. همچنین زیرساخت دیگری وجود دارد که زیرساخت دوم است، به نام زیرساخت "Cat". این زیرساخت به طور کلی از دو دامنه به همراه کلمه "Cat" در آن ها استفاده می شود و در ژانویه 2021 ظهور کرد. براساس این گزارش، کارشناسان تیم مایکروسافت اظهار داشتند که زیرساخت Cat در چنین حملاتی استفاده می شود که از یک آسیب پذیری در Microsoft Exchange Server استفاده می کند. امروزه، از این زیرساخت Cat به طور کلی در حملات استفاده می شود که منجر به نصب درب‌پشتی، سرقت داده ها و دانلود بدافزارها می شود، نه تنها این بلکه تحلیلگران اظهار داشتند که این بدافزار، بدافزار دیگری به نام Ramnit را نیز به کار گرفته است. انواع فایل های استفاده شده اپراتورهای LemonDuck از سه نوع پیوست برای فریب اهداف خود استفاده کردند و در اینجا به آن ها اشاره شده است: • فایل doc • فایل js • فایل zip دامنه های Duck • cdnimages[.]xyz • bb3u9[.]com • zz3r0[.]com • pp6r1[.]com • amynx[.]com • ackng[.]com • hwqloan[.]com • js88[.]ag • zer9g[.]com • b69kq[.]com دامنه های Cat • sqlnetcat[.]com • netcatkit[.]com • down[.]sqlnetcat[.]com اهداف اپراتورهای پشتیبان بدافزار LemonDuck عمدتا بخش های تولید و اینترنت اشیا را در کشورهای زیر هدف قرار داده اند: • ایالات متحده آمریکا • روسیه • چین • آلمان • انگلستان • هند • کشور کره • کانادا • فرانسه • ویتنام همه این کشورهای ذکر شده بیشترین حملات سایبری را شاهد بوده اند. استفاده ی LemonDuck از آسیب پذیری های قدیمی تیم مایکروسافت پس از بررسی کل کمپین، متوجه شده است که این نسخه جدید LemonDuck می تواند از آسیب پذیری های قدیمی که هنوز وصله نشده اند استفاده کند. بنابراین ما در زیر به آسیب‌پذیری‌هایی اشاره کرده‌ایم که از آن ها سوءاستفاده شده است: • CVE-2019-0708 – BlueKeep. • CVE-2017-0144 – EternalBlue. • CVE-2020-0796 – SMBGhost. • CVE-2017-8464 – LNK RCE. • CVE-2021-27065 – ProxyLogon. • CVE-2021-26855 – ProxyLogon. • CVE-2021-26857 – ProxyLogon. • CVE-2021-26858 – ProxyLogon. تهیه و تدوین: تینا احمدی