Raporlara göre, güvenliği ihlal edilmiş Microsoft Exchange sunucularından oluşan yeni bir botnet, operatörleri için kripto para madenciliği yapıyor.
Güvenlik firması CrowdStrike’dan araştırmacılara göre, bilinmeyen bir tehdit aktörü, ProxyLogon aracılığıyla sunucuları hedeflemek için LemonDuck kripto madenciliği botnetini kullanıyor.
Saldırganlar, ilk erişim için açıkta kalan Docker API’lerini arayarak, bir Bash komut dosyasını gizleyen bir “core.png” görüntü dosyasını indirmek için özel bir Docker ENTRYPOINT kullanarak kötü amaçlı bir kapsayıcı çalıştırabilir.
Madencilik Monero
Saldırganlar, ilk erişim elde ettikten sonra bir dizi eylemi gerçekleştirebilir: ayrıcalıkları yükseltmek, kripto madencileri yüklemek ve güvenliği ihlal edilmiş ağlar arasında yanlamasına hareket etmek için EternalBlue, BlueKeep veya benzeri açıkları kötüye kullanmak.
Ayrıca, güvenliği ihlal edilmiş uç noktalarda yüklü olan herhangi bir virüsten koruma veya kötü amaçlı yazılım tarama yazılımının algılanmasını önlemelerine olanak tanıyan dosyalar da yükleyebilirler.
Tüm farklı kripto madencileri arasında, saldırganlar ağırlıklı olarak izlemenin daha zor olduğu söylenen gizlilik odaklı kripto para birimi olan Monero madenciliği için XMRig kullanıyor.
Araştırmacılar ayrıca, LemonDuck’ın Alibaba’s Cloud’da aliyun hizmetini devre dışı bırakma ve böylece algılamadan kaçınma yeteneğine sahip “a.asp” adlı bir dosya ile geldiğini açıkladı.
Kampanyanın neden daha erken tespit edilmediği konusunda araştırmacılar, tehdit aktörlerinin istismar edilebilir saldırı yüzeyleri için genel IP aralıklarını toplu olarak taramadıklarını, bunun yerine dosya sisteminde SSH anahtarları arayarak LemonDuck’ta yanal olarak hareket ettiklerini belirttiler. SSH anahtarlarını bulduklarında, bunları sunuculara giriş yapmak ve yukarıda bahsedilen tüm kötü amaçlı komut dosyalarını çalıştırmak için kullanırlar.
Kripto madencileri, kripto para birimlerinin yükselen fiyatları ve piyasada satılma kolaylığı ile hem dürüst hem de sahtekâr aktörlerin dikkatini çekmesiyle son birkaç yılda son derece popüler hale geldi.