LemonDuck - это вредоносная программа для криптовалютного майнинга, которая использует уязвимость EternalBlue (CVE-2017-0144) для эксплуатации протокола SMB. Она распространяется через фишинговые письма и атаки с перебором паролей.
LemonDuck Malware
Вредоносная программа использует PowerShell для избегания обнаружения, развертывает другие вредоносные полезные нагрузки и использует системы для майнинга криптовалюты. Злоумышленник инициировал атаку с использованием уязвимости Eternal Blue на уязвимый SMB-сервис, успешно скомпрометировав пользователя "Администратор". Злоумышленник создал скрытый административный ресурс, чтобы получить удаленный доступ к всему диску без ведома жертвы. Он создал пакетный файл, который содержит вредоносные действия и настраивает перенаправление трафика на удаленный адрес. Затем злоумышленник отключает защиту Windows Defender и создает запланированные задачи для запуска вредоносных файлов в определенные промежутки времени. В конце атаки злоумышленник удаляет административный ресурс или сохраняет его контроль над системой.
Indicators of Compromise
IPv4
- 211.22.131.99
Domains
- t.amynx.com
- w.zz3r0.com
URLs
- http://t.amynx.com/gim.jsp
- http://w.zz3r0.com/page.html?pSVR-ESCWEBAPP
MD5
- 3ca77a9dfa6188ed9418d03df61fea7a
