Sophos: Lemon Duck kann mehr als Cryptomining
Malware-Weiterentwicklung sorgt für neue Angriffsvektoren
SophosLabs, Teil des britischen Sicherheitsanbieters Sophos, gab vor Kurzem einen Einblick in die Weiterentwicklung und das Bedrohungspotential der Malware „Lemon Duck“. Dabei handelt es sich um einen der Malware-Typ, den Cyberkriminelle kontinuierlich weiterentwickeln. Grund dafür ist, dass der Cryptominer durch die ständigen Updates ein lukratives Geschäft verspricht.
Die Schadsoftware nutzt intensiv die Computerressourcen ihrer Opfer, um Crypto-Geschäfte schneller und mit viel Gewinn abzuwickeln. Hinzu kommt, dass sich Cryptominer hervorragend für weitere Angriffe eignen, indem die infizierten Rechner als Stützpunkt für die Verbreitung anderer Schad-Codes im Netzwerk dienen. Lemon Duck ist nach den Beobachtungen der SophosLabs einer der auffälligsten Cryptominer, von dem durch immer neu hinzugefügte Angriffsvektoren und Verschleierungstechniken eine kontinuierlich hohe Bedrohungslage ausgeht.
Ein entscheidendes Kriterium für den Erfolg von Lemon Duck ist das dateilose Konzept: die Malware bleibt im Speicher und hinterlässt damit keine Spuren im Dateisystem. Laut jüngsten Einschätzungen der SophosLabs liegt Deutschland im weltweiten Vergleich im Mittelfeld des Bedrohungspotenzials. In Europa ist Großbritannien mit am meisten betroffen, weltweit liegen Singapur, Taiwan, Teile von China und die Philippinen an der Spitze der Angriffe.
Das Unangenehme an einer Malware wie Lemon Duck sei die beständige Unbeständigkeit. Die kontinuierliche Aktualisierung der Angriffsvektoren macht es schwer, die Malware mit herkömmlichen Security-Programmen ohne automatisierte Verhaltens- und Mustererkennung zu entdecken und einzugrenzen.
Die Kriminellen hinter Lemon Duck sind dabei besonders kreativ und nutzen aktuelle Ereignisse, um die Malware auch über Spam zu verbreiten. Dabei bauen sie auf die vielen technischen Möglichkeiten von Lemon Duck, um die Spam-Mails authentisch aussehen zu lassen. In der Folge kann ein infizierter Computer selbst zum Spam-Super-Spreader werden indem er an all seine Mail-Kontakte die Spam-Nachricht versendet.
Die Lemon-Duck-Akteure verwenden zudem auch den Exploit-Code für EternalBlue und eine Implementierung von Mimikatz. Besonders interessant ist, dass sie nach dem Angriff und der Ausführung des bösartigen Codes beginnen, die SMBv3-Komprimierung über die Registrierung zu deaktivieren und die Standard-SMB-Netzwerk-Ports 445 und 135 zu blockieren. Damit hindern sie andere Hacker daran, über die gleiche Schwachstelle einzudringen, die sie ausgenutzt haben.
Ein weiterer beliebter Angriffsvektor ist der binäre BruteForce-Angriff unter Zuhilfenahme von EternalBlue. Der Miner lädt eine bösartige ausführbare Datei in das Temp-Verzeichnis. Diese Python-kompilierte Binärdatei lädt dann eine Komponente von Mimikatz, die versucht, eine zufällige Liste von IP-Adressen zu generieren, um nach Schwachstellen für den EternalBlue-Exploit zu suchen. Besonders bemerkenswert ist der SSH-BruteForce-Angriffsvektor, mit dem das Crypto-Mining auch auf Linux ausgeweitet wird. Ziel sind also schon lange nicht mehr nur Windows-Systeme.
Weitere Informationen stehen unter www.sophos.com zur Verfügung.
Lesen Sie mehr zum Thema
