Jak se malware LemonDuck zaměřuje na firmy a jak zůstat chráněni

Krajina hrozeb kybernetické bezpečnosti se od začátku pandemie COVID-19 hodně zhoršila. Podniky a podnikatelé jsou vystaveni většímu riziku než kdykoli předtím; podle AV-Test Institute of IT Security, Německo, bylo v roce 2020 ve skutečnosti 137,7 milionu nových vzorků malwaru. V srpnu 2021 již bylo nalezeno 117 milionů nových vzorků malwaru.

Ne tak nový malware je však opět na vzestupu a cílí na počítače se systémem Windows. Říká se tomu Malware LemonDuck, a přestože to může znít roztomile, je vybaven k tomu, aby ukradl vaše data a poškodil vaše systémy. Pojďme se tedy podívat na jeho nebezpečí a na to, jak můžete vy nebo vaše firma zůstat chráněni.

Co je malware LemonDuck?

LemonDuck je aktivně aktualizovaný a robustní malware, který je na radaru kybernetické bezpečnosti od května 2019. Nejprve to získalo hanbu pro botnet a útoky na těžbu kryptoměn a od té doby se vyvinul ve vysoce sofistikovaný malware.

LemonDuck je multiplatformní hrozba, která se zaměřuje na vaše zařízení Windows i Linux. K šíření využívá celou řadu různých vektorů útoku, jako jsou mimo jiné phishingové e -maily, exploity, zařízení USB a hrubá síla. Společnost Microsoft varovala, že kromě využívání zdrojů pro své tradiční činnosti v oblasti botů a těžby může nyní LemonDuck ukrást vaše přihlašovací údaje a odebrat z vašich systémů ovládací prvky zabezpečení.

Nezáleží na hranicích domény a pohybuje se laterálně napříč vašimi aplikacemi, koncovými body, identitami uživatelů a datovými doménami. Může instalovat nástroje pro budoucí útoky ovládané lidmi a obrana vašich systémů může být náročná, pokud nevíte, co děláte.

Proč byste měli hrozbu LemonDuck brát vážně

Ve svých počátcích se LemonDuck zaměřoval převážně na Čínu a nešel příliš daleko. Dnes se její činnost rozšířila do několika zemí: USA, Rusko, Čína, Německo, Spojené království, Indie, Korea, Kanada, Francie a Vietnam v poslední době utrpěly nejhorší krát.

LemonDuck infikuje systémy tím, že se maskuje jako neškodné soubory, které vídáme každý den. Je snadné se mu stát kořistí, protože využívá aktuální zprávy, události nebo vydávání nových exploitů ke spouštění efektivních kampaní a lákání svých cílů.

Například, Příspěvek společnosti Microsoft Diskuse o malwaru uvádí, že v roce 2020 objevil LemonDuck pomocí návnad na téma COVID-19 při e-mailových útocích. V roce 2021 využil nově opravené zranitelnosti serveru Exchange Server k získání přístupu k zastaralým systémům.

LemonDuck navíc nekončí využíváním nových nebo oblíbených zranitelností. Pokud má vaše organizace ve svém systému staré chyby bez opravy, LemonDuck je může zneužít, zatímco vy se místo opravy toho, co je již známé, zaměříte na opravu nové chyby zabezpečení.

LemonDuck je ještě nebezpečnější v tom, že netoleruje žádné další útočníky kolem něj. Ve skutečnosti je LemonDuck odstraní z ohroženého zařízení tím, že se zbaví konkurenčního malwaru. Zabraňuje také jakýmkoli novým infekcím opravou stejných zranitelností, jaké používaly k získání přístupu.

Dávejte pozor na LemonDuck's Evil Twin, LemonCat

Tým Microsoft 365 Defender Threat Intelligence ve své zprávě také odhalil infrastrukturu LemonCat. LemonCat také používá malware LemonDuck, ale pro své vlastní cíle ho provozuje jiná organizace.

Ve svých doménách používá dvě domény se slovem „kočka“ (sqlnetcat [.] Com, netcatkit [.] Com) a když se v lednu 2021 objevil, bylo vidět, že využívá chyby zabezpečení na serveru Microsoft Exchange Server.

Na LemonCat byste si měli dávat pozor, protože se používá pro nebezpečné operace, které ohrožují vaše data a systémy. Hackeři dnes pomocí LemonCat instalují zadní vrátka, krádeže přihlašovacích údajů a dat a šíření užitečného zatížení malwarem, jako je trojský kůň Windows „Ramnit“.

Ale to, že se LemonCat používá k nebezpečnějším útokům, neznamená, že byste malware LemonDuck měli brát méně vážně. Tato zjištění ve skutečnosti odhalují, jak nebezpečná může být tato dvojí hrozba pro zařízení Windows. Útočníci mohou znovu použít stejnou sadu nástrojů, přístupů a metod v dynamických intervalech, aby vašemu podniku způsobili větší újmu, než se dříve očekávalo.

Příbuzný: Proč vývojáři malwaru útočí na velké firmy?

Jak můžete s Microsoft 365 Defender zůstat chráněni

Naštěstí již máte zavedený systém, který vás může chránit před hrozbami kybernetické bezpečnosti. Například již můžete mít ve svých systémech účinný antivirový software a nainstalované nástroje zabezpečení. Pokud ne, měli byste zvážit pořízení Microsoft 365 Defender, pokud chcete ochranu na podnikové úrovni.

Microsoft 365 Defender je sjednocená podniková obranná sada, která obsahuje Microsoft Defender for Endpoint, Microsoft Defender pro Office 365, Microsoft Defender pro identitu a řešení Microsoft Cloud App Security.

Microsoft 365 Defender vám může pomoci detekovat bezpečnostní rizika, vyšetřovat útoky na vaši organizaci a automaticky předcházet škodlivým aktivitám. Toto integrované řešení detekce a reakce na hrozby mezi doménami poskytuje vaší organizaci koordinovanou a automatickou obranu, která blokuje hrozby dříve, než se stanou útoky.

Jeho špičkové ochrany poháněné umělou inteligencí vám mohou pomoci překonat široké a sofistikované hrozby LemonDuck. Dobrým příkladem je Microsoft 365 Defender pro Office 365, který detekuje škodlivé e-maily odesílané botnetem LemonDuck a doručuje užitečné zatížení škodlivého softwaru.

Na druhou stranu Microsoft Defender pro Endpoint detekuje a blokuje implantáty LemonDuck, užitečné zatížení a škodlivou aktivitu na zařízeních Linux a Windows.

S Microsoft 365 Defender máte bohaté vyšetřovací nástroje, které váš tým zabezpečení může použít k odhalení detekce aktivity LemonDuck. Analyzuje a normalizuje výstrahy a související události a spojuje je do incidentů, aby vám poskytl kompletní přehled a kontext útoku-vše na jediném řídicím panelu.

Kromě toho dokonce odhaluje pokusy o kompromisy a získání opory v síti, takže týmy bezpečnostních operací mohou na tyto útoky efektivně a sebevědomě reagovat a vyřešit je.

Jak můžete nasadit Microsoft 365 Defender pro váš podnik

Podle úředníka Dokumentace Microsoft 365 Defender, automaticky se zapne, pokud oprávněný zákazník s požadovanými oprávněními navštíví portál Microsoft 365 Defender.

Pokud máte licenci na Microsoft 365, můžete Microsoft 365 Defender používat bez dalších poplatků bezpečnostní produkt jako Microsoft 365 E5 nebo A5, Windows 10 Enterprise E5 nebo A5 a Office 365 E5 nebo A5.

Co víc dělat, aby byl LemonDuck v zálivu

Můžete také použít určitá omezení, abyste posílili svoji obranu a omezili dopad malwaru LemonDuck.

1. Pravidelně skenujte svá USB a vyměnitelná úložná zařízení a zablokujte je na citlivých zařízeních. Také byste měli vypnout automatické spouštění a povolit antivirovou ochranu v reálném čase.
2. Dávejte si pozor na podezřelé e -maily. LemonDuck používá e-mailové útoky na témata jako „Pravda o COVID-19“, „HALTH ADVISORY: CORONA VIRUS“, „What the fcuk“, „This is your order?“ a více. Pro tyto nástrahy se používají tři typy příloh: .doc, .js nebo .zip obsahující a. soubor. Bez ohledu na typ se soubor jmenuje „readme“. Občas najdete všechny tři ve stejném e -mailu.
3. Podporujte ve vaší organizaci používání webových prohlížečů, které podporují SmartScreen. SmartScreen identifikuje a blokuje škodlivé weby, včetně phishingových stránek, podvodných webů a webů, které obsahují exploity a hostují malware.

Existují další důležitá doporučení ke zmírnění, o kterých si můžete přečíst v Část 2 blogové série společnosti Microsoft. Tam se také dostanete k prozkoumání hloubkové technické analýzy škodlivých akcí, které následují po infekci LemonDuck, a získáte pokyny pro vyšetřování útoků LemonDuck.

Chraňte svoji organizaci

LemonDuck a LemonCat jsou hrozby, které byste měli brát vážně. Neustále se vyvíjející vícesložkový malware, jako jsou tyto, může navrhnout nové způsoby přístupu a poškození vašich zařízení Windows a vašich obchodních aktiv.

Můžete však zůstat chráněni tím, že zůstanete ve střehu a budete informováni a budete se chytře rozhodovat. Například nasazení robustního nástroje zabezpečení, jako je Microsoft 365 Defender, který vašemu týmu zabezpečení umožní detekovat, analyzovat a eliminovat hrozby dříve, než mohou poškodit.

Může malware přimět váš antivirus k obejití ochrany před ransomwarem?

Antivirový software ne vždy zastaví ransomware. Zde je návod, jak to kyberzločinci obcházejí a co s tím můžete dělat.

Číst dále

O autorovi