情境示意圖,Photo by Fiona MacGinty-O’Neill on flickr (CC BY-ND 2.0)

Exchange Server漏洞未補後患無窮。繼國家駭客、勒索軟體後,安全廠商發現,一款名為Lemon Duck(黃色小鴨)的殭屍網路程式,現在也開始鎖定攻擊Exchange Server的漏洞。

Lemon Duck是一款以挖門羅幣(Monero)為目的殭屍網路程式。卡巴斯基全球研究與分析小組主任Costin Raiu指出,Lemon Duck背後的駭客正在大規模開採Exchange Server的ProxyLogon漏洞,以散佈這個挖礦程式。

Lemon Duck背後的運作組織並非Hafnium,目的在利用受害裝置挖礦,至少2018年底即已出現。去年底,思科研究人員發現它開採Windows BlueKeep漏洞以感染Windows 10系統。卡巴斯基去年2月也偵測到Lemon Duck攻擊連結Windows 7系統的印表機、智慧電視或自駕車車上系統,串聯挖礦殭屍網路。

Lemon Duck這個程式會透過許多途徑,包括電子郵件、psexec、WMI及SMB開採程式(如Eternal Blue、SMB Ghost)等散佈,但除了Windows系統外,它也能感染Linux機器、MS SQL伺服器、Redis及Hadoop叢集伺服器。此外它還能利用Windows安全測試工具Mimikatz來竊取系統密碼以利擴大感染範圍。Bleeping Computer引述安全廠商Sophos研究人員的話指出,Lemon Duck屬於技術最高明的挖礦軟體之一。

針對Lemon Duck,卡巴斯基提供了攻擊指標p.estonine[.]com、cdn.chatcdn[.]net及雜湊供企業IT管理員檢查內部系統安全。

不過這並非第一波搭上Exchange Server漏洞攻擊列車的挖礦軟體。上周ESET發現在微軟公布漏洞後幾天內,就有DLTMiner已經升高活動。

上周安全研究人員Michael Gillespie另外也揭露一個不明駭客組織,正在藉由開採ProxyLogon漏洞植入勒索軟體DearCry。

熱門新聞

Advertisement