Ботнет LemonDuck становится все более опасной киберугрозой
04/08/21
За последние два года вредоносное ПО LemonDuck для майнинга криптовалюты превратилось в массивный ботнет, и теперь его операторы экспериментируют с новыми видами атак в скомпрометированных сетях.
Специалисты компании Microsoft провели анализ ПО LemonDuck и рассказали о недавних изменениях в коде вредоноса, позволяющих проводить атаки с использованием клавиатуры (hands-on-keyboard intrusions). В ходе подобных атак злоумышленники перестают использовать автоматические скрипты и вручную авторизуются на зараженной системе для самостоятельного выполнения команд.
LemonDuck был обнаружен израильской ИБ-фирмой Guardicore в первой половине 2019 года. Изначально ботнет представлял собой небольшую операцию, основанную на классическом спаме электронной почты для распространения вредоносных файлов и заражения систем жертв вредоносным ПО. Однако за последние два года вредоносная программа постоянно получала новые функции, и в 2020 году ее создатели добавили поддержку сетевых атак. Теперь ботнет может заражать системы под управлением Windows и Linux и оснащен рядом функций, которые позволяют ему удалять конкурирующие вредоносные программы с зараженных устройств, защищаться от атак со стороны конкурентов, и похищать учетные данные из локальных систем для обеспечения персистентности.
«Не было никаких признаков того, что будущие атаки будут носить характер ручных действий на клавиатуре. Операторы LemonDuck серьезно отнеслись к своему проекту. Их многоэтапные PowerShell-скрипты оказались более сложными и запутанными, чем у других преступников, и операторы вредоноса часто использовали инструменты с открытым исходным кодом для осуществления заражения», — пояснили эксперты.
Как отметили исследователи, операторы LemonDuck также начали установку других видов вредоносных программ на зараженных системах, например, вредоносы из семейства Ramnit. Специалисты предполагают, что LemonDuck может превратиться в бизнес-модель Malware-as-a-Service («вредоносное-ПО-как-услуга»), предоставляя доступ к вредоносу другим группировкам.