Grupo de hackers ataca vulnerabilidades do Microsoft Exchange Server
Pesquisadores exploraram as atividades mais recentes do grupo de hackers Lemon Duck, incluindo a alavancagem das vulnerabilidades do Microsoft Exchange Server e o uso de domínios de alto nível.
A exploração ativa das vulnerabilidades do Microsoft Exchange Server no wild foi um desastre de segurança para milhares de organizações.
Quatro falhas críticas, apelidadas de ProxyLogon, impactam no Microsoft Exchange Server 2013, 2016 e 2010. Patches, ferramentas de detecção de vulnerabilidades e instruções de mitigação foram disponibilizados em março, mas ainda estima-se que até 60.000 organizações possam ter sido comprometidas.
O código de exploração, também, está agora disponível, e pelo menos 10 grupos avançados de ameaças persistentes (APT) adotaram as falhas nos ataques deste ano.
No final de março, a Microsoft disse que a botnet Lemon Duck havia sido observada explorando servidores vulneráveis e usando os sistemas para minerar criptomoedas.
Agora, pesquisadores da Cisco Talos forneceram um mergulho profundo nas táticas atuais dos ciberataques.
Os operadores do Lemon Duck estão incorporando novas ferramentas para “maximizar a eficácia de suas campanhas” visando as vulnerabilidades de alta gravidade no Microsoft Exchange Server e dados de telemetria após consultas de DNS aos domínios do Lemon Duck indicando que a atividade da campanha aumentou em abril.
A maioria das consultas veio dos EUA, seguida pela Europa e sudeste da Ásia. Um aumento substancial nas consultas a um domínio do Lemon Duck também foi observado na Índia.
Os operadores do Lemon Duck usam ferramentas automatizadas para digitalizar, detectar e explorar servidores antes de carregar cargas, como balizas Cobalt Strike DNS e web shells, levando à execução de software de mineração de criptomoedas e malware adicional. O malware e os scripts do PowerShell associados também tentarão remover produtos antivírus oferecidos por fornecedores como ESET e Kaspersky e interromperão quaisquer serviços – incluindo Windows Update e Windows Defender – que possam dificultar uma tentativa de infecção.
Tarefas programadas são criadas para manter a persistência, e em campanhas recentes, o programa de linha de comando CertUtil é utilizado para baixar dois novos scripts do PowerShell que são encarregados da remoção de produtos AV, criando rotinas de persistência e baixando uma variante da mineradora de criptomoedas XMRig.
As assinaturas concorrentes de mineradores de criptomoedas, também, são codificadas e escritas em um módulo “assassino” para exclusão.
SMBGhost e Eternal Blue têm sido usados em campanhas passadas, mas como a alavancagem das falhas do Microsoft Exchange Server mostra, as táticas do grupo estão constantemente mudando para ficar à frente da curva.
Lemon Duck também vem criando domínios de alto nível chamariz (TLDs) para a China, Japão e Coreia do Sul para tentar ofuscar a infraestrutura central de comando e controle (C2).
“Considerando que esses ccTLDs são mais comumente usados para sites em seus respectivos países e idiomas, também é interessante que eles tenham sido usados, em vez de TLDs mais genéricos e globalmente usados, como “.com” ou “.net“, observa Cisco Talos. Isso pode permitir que o ator de ameaças esconda de forma mais eficaz as comunicações C2 entre outros tráfegos da Web presentes em ambientes de vítimas.”
Sobreposições entre o botnet Lemon Duck e o malware de criptomoeda Beapy/Pcastle também foram observados.
“O uso de novas ferramentas como o Cobalt Strike, bem como a implementação de técnicas adicionais de ofuscação ao longo do ciclo de vida de ataque, podem permitir que eles operem de forma mais eficaz por períodos mais longos dentro dos ambientes das vítimas”, dizem os pesquisadores. “Novos TTPs consistentes com aqueles supostamente relacionados à exploração generalizada de vulnerabilidades de software microsoft exchange de alto perfil e evidências adicionais baseadas em host sugerem que esse ator de ameaça também está agora mostrando um interesse específico em direcionar os Servidores de Exchange à medida que eles tentam comprometer sistemas adicionais e manter e/ou aumentar o número de sistemas dentro da botnet Lemon Duck.”