Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

Lemon Duck extiende sus alas: los actores apuntan a los servidores de Microsoft Exchange

Escrito Por Caitlin Huey y Andrew Windsor con contribuciones de Edmund Brumaghin .

Lemon Duck continúa refinando y mejorando sus tácticas, técnicas y procedimientos mientras intentan maximizar la efectividad de sus campañas.

  • Lemon Duck sigue siendo relevante a medida que los operadores comienzan a apuntar a los servidores de Microsoft Exchange, explotando vulnerabilidades de seguridad de alto perfil para eliminar web shells y llevar a cabo actividades maliciosas.

  • Lemon Duck continúa incorporando nuevas herramientas, como Cobalt Strike, en su kit de herramientas de malware.

  • Ahora se están utilizando técnicas de ofuscación adicionales para hacer que la infraestructura asociada con estas campañas sea más difícil de identificar y analizar.

  • El uso de dominios falsos en dominios de nivel superior (TLD) del este de Asia enmascara las conexiones con la infraestructura real de comando y control (C2) utilizada en estas campañas.

RESUMEN EJECUTIVO Desde abril de 2021, Cisco Talos ha observado una infraestructura actualizada y nuevos componentes asociados con la botnet de minería de criptomonedas Lemon Duck que apunta a servidores Microsoft Exchange sin parches e intentan descargar y ejecutar cargas útiles para las balizas DNS Cobalt Strike. Esta actividad refleja tácticas, técnicas y procedimientos (TTP) actualizados asociados con este actor de amenazas. Después de que varias vulnerabilidades de día cero de Microsoft Exchange Server se hicieran públicas el 2 de marzo, Cisco Talos y varios otros investigadores de seguridad comenzaron a observar a varios actores de amenazas, incluido Lemon Duck, aprovechando estas vulnerabilidades para la explotación inicial antes de que los parches de seguridad estuvieran disponibles. Microsoft publicó un informeel 25 de marzo, destacando el objetivo de Lemon Duck de los servidores Exchange para instalar malware de minería de criptomonedas y un cargador de malware que se utilizó para entregar cargas útiles de malware secundario, como los ladrones de información. También descubrimos que los actores de Lemon Duck han estado generando dominios falsos en dominios de nivel superior (TLD) del este de Asia para enmascarar conexiones a su dominio C2 legítimo desde al menos febrero de 2020, destacando otro intento de hacer sus operaciones más efectivas. A continuación, describiremos los cambios en los TTP utilizados por Lemon Duck en campañas recientes, ya que se relacionan con varias etapas de estos ataques. CAMPAÑAS RECIENTES Y VICTIMOLOGÍA Los investigadores de Cisco Talos identificaron inicialmente un aumento notable en el volumen de consultas de DNS que se realizan para cuatro dominios de Lemon Duck recientemente observados:

  • t [.] hwqloan [.] com

  • d [.] hwqloan [.] com

  • t [.] ouler [.] cc

  • ps2 [.] jusanrihua [.] com

Este pico, que se produjo el 9 de abril de 2021, coincidió con la actividad de infección recopilada dentro de nuestros sistemas de telemetría asociados con estos mismos dominios. Observamos el mayor aumento en las consultas para ps2 [.] Jusanrihua [.] Com, que alcanzó su punto máximo el 13 de abril, luego disminuyó antes de volver a aumentar el 26 de abril.


Al observar más de cerca la distribución geográfica de las solicitudes de resolución de dominio relacionadas con esta actividad, observamos que la mayoría de ellas se originaron en América del Norte, seguida de Europa, el sudeste asiático, con algunas otras de América del Sur y África. Esto contrasta con la distribución de consultas observada en octubre de 2020, como se describe en nuestra publicación anterior , donde la mayoría de las consultas se originaron en Asia.



En particular, para uno de estos dominios, d [.] Hwqloan [.] Com, más del sesenta por ciento de las consultas de DNS se originaron en la India. Determinamos que esta actividad estaba asociada con sistemas infectados que intentaban comunicarse con la infraestructura de Lemon Duck. Dado que la comunicación con estos dominios ocurre típicamente durante el proceso de infección de Lemon Duck, esta actividad puede ser indicativa de la distribución geográfica de las víctimas de estas campañas.


En la cobertura original de Talos de Lemon Duck, describimos múltiples superposiciones entre Lemon Duck y otro malware de minería de criptomonedas, Beapy (también conocido como Pcastle), que se había observado anteriormente apuntando al este de Asia. En ese momento, se estaban observando infecciones de Lemon Duck informadas por otros investigadores de seguridad.en concentraciones mucho más altas en China. Si bien la victimología y los métodos de propagación actualmente observados de Lemon Duck son en gran medida indiscriminados, el uso aparentemente exclusivo de TLD de código de país (ccTLD) para China, Japón y Corea del Sur en los dominios falsos escritos en el archivo de hosts de Windows es notable, como se describe en la sección "Mando y control (C2)" a continuación.


Teniendo en cuenta que estos ccTLD se utilizan con mayor frecuencia para sitios web en sus respectivos países e idiomas, también es interesante que se hayan utilizado, en lugar de TLD más genéricos y de uso mundial como ".com" o ".net". Esto puede permitir al actor de la amenaza ocultar de manera más efectiva las comunicaciones C2 entre otro tráfico web presente en los entornos de las víctimas. Debido a la prevalencia de dominios que utilizan estos ccTLD, el tráfico web a los dominios que utilizan los ccTLD puede atribuirse más fácilmente como ruido a las víctimas dentro de estos países. Esto puede agregar otra superposición potencial con Beapy, ya que cada uno ha exhibido TTP que sugiere un posible objetivo de víctimas en el este de Asia. Sin embargo, sin evidencia adicional, esta conexión en particular sigue siendo de baja confianza,


COBERTURA


Las formas en que nuestros clientes pueden detectar y bloquear esta amenaza se enumeran a continuación.


Cisco Secure Endpoint es ideal para prevenir la ejecución del malware que se detalla en esta publicación. Los nuevos usuarios pueden probar Cisco Secure Endpoint de forma gratuita aquí. El escaneo web de Cisco Secure Web Appliance evita el acceso a sitios web maliciosos y detecta el malware utilizado en estos ataques. Cisco Secure Firewall y Meraki MX pueden detectar actividad maliciosa asociada con esta amenaza. Cisco Secure Malware Analytics ayuda a identificar binarios maliciosos y a incorporar protección en todos los productos de seguridad de Cisco. Cisco Umbrella , nuestra puerta de enlace segura a Internet (SIG), impide que los usuarios se conecten a dominios, IP y URL maliciosos, tanto si los usuarios están dentro como fuera de la red corporativa.

Las protecciones adicionales con contexto para su entorno específico y datos de amenazas están disponibles en el Centro de administración de firewall seguro de Cisco . Los clientes de Open Source Snort Subscriber Rule Set pueden mantenerse actualizados descargando el último paquete de reglas disponible para su compra en Snort.org . Se han lanzado los siguientes SID para detectar esta amenaza: 45549: 4, 46237, 50795, 55926, 57469 - 57474 . Las siguientes firmas de ClamAV se han lanzado para detectar esta amenaza, así como herramientas y malware relacionados con estas campañas:

  • Ps1.Trojan.Lemonduck-9856143

  • Ps1.Trojan.Lemonduck-9856144

  • Win.Trojan.CobaltStrike-7917400

  • Win.Trojan.CobaltStrike-8091534

Se han lanzado los siguientes IOC de Cisco Secure Endpoint Cloud para detectar esta amenaza en los endpoints:

  • W32.LemonDuckCryptoMiner.ioc

  • Clam.Ps1.Dropper.LemonDuck-9775016-1

  • Win.Miner.LemonDuck.tii.Talos

  • Ps1.Dropper.LemonDuck

  • Clam.Js.Malware.LemonDuck-9775029-1


Mas información: https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html

19 vistas0 comentarios