Variante di Lemon Duck diffonde miner su Server Microsoft Exchange vulnerabili

È stato rilevato l’utilizzo di una nuova variante del malware Lemon Duck per diffondere il miner di criptovalute XMRig su server Microsoft Exchange privi di patch per la vulnerabilità denominata “ProxyLogon” (CVE-2021-27065).

Rispetto alle varianti di Lemon Duck osservate finora, questa utilizza nuove tecniche:

• utilizzo del comando taskkill – invece di WMI (Windows Management Instrumentation) – per arrestare i software di sicurezza e successivamente tentare di rimuoverli dalla macchina;
• utilizzo di un eseguibile in python al solo scopo di fornire, tramite uno script PowerShell, un payload riconducibile a Cobalt Strike;
• offuscamento dei domini di Command & Control grazie a uno script eseguito durante il processo di infezione per richiamare la funzione "GetHostAddresses" attraverso cui viene ottenuto l’indirizzo IP di un dominio controllato dagli attaccanti, associato ad un hostname falso codificato all’interno del comando PowerShell.

Le vittime risultano localizzate in Europa – Italia compresa – Nord America, Sudest asiatico e alcuni Paesi dell’America latina e dell’Africa.

Fonte: CSIRT Italia