Le groupe Lemon Duck s’attaque aux serveurs Microsoft Exchange

Spread the love
Le groupe Lemon Duck s'attaque aux serveurs Microsoft Exchange

Des chercheurs ont analysé les dernières activités du groupe de cybercriminels Lemon Duck, et notamment leur exploitation des vulnérabilités de Microsoft Exchange Server et leur utilisation de faux domaines de premier niveau.

L’exploitation des vulnérabilités de Microsoft Exchange Server par des cybercriminels a été un désastre pour la sécurité de milliers d’organisations.

Quatre failles critiques, baptisées ProxyLogon, affectaient les serveurs Microsoft Exchange 2013, 2016 et 2010 sur site. Des correctifs, des outils de détection des vulnérabilités et des instructions d’atténuation ont été mis à disposition en mars, mais on estime toujours que jusqu’à 60 000 organisations pourraient avoir été compromises. Le code d’exploitation, lui aussi, est désormais disponible, et au moins 10 groupes cybercriminels sophistiqués ont adopté les failles dans leurs attaques cette année.

publicité

Le botnet Lemon Duck à la loupe

Fin mars, Microsoft avertissait que le botnet Lemon Duck tentait d’exploiter des serveurs vulnérables et d’utiliser les systèmes compromis pour extraire de la cryptomonnaie. Aujourd’hui, les chercheurs de Cisco Talos ont publié une analyse approfondie des tactiques de ce groupe.

Les opérateurs de Lemon Duck intègrent de nouveaux outils pour « maximiser l’efficacité de leurs campagnes » en ciblant les vulnérabilités de Microsoft Exchange Server. Les données de télémétrie issues des requêtes DNS en direction des domaines de Lemon Duck indiquent que l’activité de la campagne a connu un pic en avril. La majorité des requêtes provenaient des Etats-Unis, suivis de l’Europe et de l’Asie du Sud-Est. Un pic important de requêtes vers un domaine Lemon Duck a également été constaté en Inde.

Les opérateurs de Lemon Duck utilisent des outils automatisés pour analyser, détecter et exploiter les serveurs avant d’installer des charges utiles, comme des balises DNS Cobalt Strike et des web shells, ce qui leur permet de procéder à l’exécution de logiciels de minage de cryptomonnaies et de malwares supplémentaires.

Supprimer l’antivirus

Le malware et les scripts PowerShell associés tenteront également de supprimer les produits antivirus proposés par des fournisseurs tels que ESET et Kaspersky et arrêteront tous les services – notamment Windows Update et Windows Defender – qui pourraient entraver une tentative d’infection.

Des tâches planifiées sont créées pour maintenir la persistance et, dans les campagnes récentes, le programme de ligne de commande CertUtil est utilisé pour télécharger deux nouveaux scripts PowerShell chargés de supprimer les produits antivirus, de créer des routines de persistance et de télécharger une variante du mineur de cryptomonnaie XMRig.

Les signatures de mineurs de cryptomonnaies concurrents sont également répertoriées dans un module “killer” visant à les supprimer.

SMBGhost et Eternal Blue ont été utilisés lors des campagnes antérieures mais, comme le montre l’exploitation des failles de Microsoft Exchange Server, les tactiques du groupe changent constamment pour garder une longueur d’avance.

Des domaines fictifs

Lemon Duck a également créé des domaines de premier niveau (TLD) fictifs pour la Chine, le Japon et la Corée du Sud, afin d’essayer de dissimuler l’infrastructure des centres de commandement et de contrôle (C2).

« Considérant que ces ccTLD sont le plus souvent utilisés pour les sites web dans leurs pays et langues respectifs, il est également intéressant qu’ils aient été utilisés dans le cadre de cette attaque, plutôt que des TLD plus génériques et mondialement utilisés tels que “.com” ou “.net” », note Cisco Talos. « Cela peut permettre à l’acteur malveillant de dissimuler plus efficacement les communications vers le serveur de contrôle parmi les autres trafics web présents dans les environnements des victimes. »

Des liens entre le botnet Lemon Duck et le malware de cryptomonnaie Beapy/Pcastle ont également été observés.

« L’utilisation de nouveaux outils, comme Cobalt Strike, ainsi que la mise en œuvre de techniques d’obscurcissement supplémentaires tout au long du cycle de vie de l’attaque, peut leur permettre d’opérer plus efficacement pendant de plus longues périodes au sein des environnements des victimes », indiquent les chercheurs. « De nouvelles tactiques et des preuves supplémentaires basées sur l’hôte suggèrent que cet acteur montre également maintenant un intérêt spécifique pour les serveurs Exchange, alors qu’il tente de compromettre des systèmes supplémentaires et de maintenir et/ou d’augmenter le nombre de systèmes au sein du botnet Lemon Duck. »

Source : ZDNet.com

Leave a Reply