Uncategorized 

LemonDuck

SCILabs

SCILabs identificó que existen múltiples dispositivos en LATAM que podrían ser víctimas de LemonDuck. Esta amenaza utiliza diferentes vulnerabilidades críticas, como la de ProxyLogon, para llevar a cabo sus ataques (CVE-2021-26857, CVE-2021-26855, CVE-2021-27065 y CVE-2021-26858).

Aunque LemonDuck no es un malware nuevo y ha sido analizado en múltiples ocasiones, existen organizaciones en la región que pueden ser víctimas potenciales; debido en gran medida a la falta de capacidades de detección de amenazas, así como a malas prácticas de ciberseguridad empleadas en la operación del día a día.

Cabe resaltar que LemonDuck continúa utilizando técnicas avanzadas con la finalidad de realizar criptominería en los dispositivos infectados; también elimina otras amenazas para optimizar el desempeño del dispositivo y aprovechar mejor sus recursos. Finalmente, algunas herramientas se mantienen igual a las observados desde 2020, lo que significa que los artefactos son ampliamente detectados por las soluciones de seguridad, siempre y cuando estos se mantengan actualizados y con un monitoreo constante.

 

Resumen de TTP

  • Para realizar el acceso inicial, es probable que los ciberdelincuentes aprovechen la vulnerabilidad ProxyLogon en un servidor de la víctima, que sea accesible desde Internet.
  • Una vez que acceden al dispositivo comprometido, descargan y ejecutan un script de PowerShell desde un servidor C2, el cual será el encargado de recopilar información de la computadora de la víctima, para posteriormente descargar el artefacto que desencadenará el ataque.
  • El siguiente artefacto descargado tiene como objetivo deshabilitar las soluciones de seguridad de Windows, para evitar su bloqueo al momento de ejecutarse. Buscará eliminar campañas anteriores del propio malware, desactivar soluciones antivirus instaladas en el equipo y bajar el nivel de seguridad del sistema operativo. Adicionalmente, tratará de deshabilitar algunos servicios, como SMB, para evitar que otros atacantes realicen movimientos laterales en los equipos. Finalmente, el artefacto descargará las fases restantes del ataque.
  • Para lograr la persistencia en el sistema, los ciberdelincuentes crean tareas programadas que ejecutan scripts, los cuales intentarán acceder a diferentes dominios y descargan otro script malicioso encargado de recopilar información técnica de la computadora, como modelo de tarjetas de video y versión del sistema operativo, para así instalar el criptominero apropiado para el dispositivo, además de otras herramientas útiles para el ciberdelincuente, las cuales serán ejecutadas en memoria, para realizar movimientos laterales.
  • En última instancia, el objetivo es infectar tantos sistemas como sea posible, para secuestrar sus recursos y realizar criptominería. Además se envía información confidencial a los ciberdelincuentes, como nombres de dominio, nombres de computadora y nombres de usuario.

 

Técnicas utilizadas por los ciberdelincuentes

Según múltiples investigaciones, los operadores detrás de LemonDuck utilizan diferentes técnicas para realizar el acceso inicial:

  • Correo electrónico de phishing, enviado desde una máquina ya infectada.
  • Explotación de equipos vulnerables a EternalBlue u otros exploits SMB.
  • Ataques de fuerza bruta por RDP.
  • A través de un archivo .lnk en una unidad extraíble o en una unidad de red.
  • Fuerza bruta a través del protocolo SSH, si existen cuentas débiles en el sistema.
  • Pass-the-hash: si los atacantes logran volcar un hash de contraseña NTLM válido.
  • Fuerza bruta de MS-SQL, como Kingminer, si las credenciales de la base de datos son débiles.
  • Explotación de vulnerabilidades críticas en sistemas expuestos en Internet, tal es el caso de ProxyLogon.

 

TTP observados, alineados con el marco ATT&CK de MITRE

Execution Persistence Defense Evasion C&C Lateral Movement
T1203 -Exploitation for Client Execution T1053-Scheduled Task  T1089-Disabling Security Tools T1105-Remote File Copy T1021.002-Remote Services: SMB/Windows Admin Shares
T1086-PowerShell    T1027 -Obfuscated Files or Information    
T1035-Service Execution   T1562.004-Impair Defenses: Disable or Modify System Firewall    
    T1218.005-Signed Binary Proxy Execution: Mshta    

 

IoC

A655DBAC35DD60528FDCCAEB18E2364A

626502D55EDD6240C07079567A60939B16957489

0D7B2040781D8D2E56B2E2D52C87CE129ACF787FCF0DF94ED32CC795318EB8A3

5E1A89689EE6E71674C8297CF43B4B04

74CF33C3D528BF66C208A054D56F864855C1D327

0297A94284DB217F4863EAE92DCA805650B5B8C755C3C785E057FF17A2B82F20

30AA5153051B45D041C09265E05401AE

F1B4295B4A8B001645C800CFC13EEDC9E822D853

86D7A743F45DB476BB834C55847B7FB5E621A727A7D250402CF9D0538FC253C4

E22A1BE8D48378FA420E23DDAA8D845E

42E5A3450C029B6BAAC6BCB7284791CE8F796CE7

CBF17D5163137A1CB7B6BE225CE32BB15885413F5DD4A2529847E5551C79D56A