Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
07.02.2020

Операторы вредоносного ПО Lemon Duck атаковали IoT-производителей

Эксперты из ИБ-компании TrapX Security предупредили о новой вредоносной кампании, нацеленной на крупных производителей, которые используют подсистемы Windows 7 для запуска конечных точек IoT-устройств. Преступники используют самораспространяющееся вредоносное ПО из семейства Lemon Duck.

Операторы вредоноса атакуют IoT-устройства и используют их для добычи криптовалюты Monero с помощью инструмента XMRig. Исследователи предупреждают, что интенсивный процесс майнинга негативно сказывается на работе оборудования и вызывает сбои работе, а также подвергает устройства проблемам безопасности, приводит к нарушению цепей поставок и потере данных.

В каждом из описанных исследователями случае злоумышленники эксплуатировали уязвимости в Windows 7 в качестве отправной точки. Напомним, 14 января корпорация Microsoft официально прекратила техническую поддержку операционной системы Windows 7. Microsoft больше не будет предоставлять техническую поддержку по любым вопросам, обновления программного обеспечения, а также обновления и исправления системы защиты, поэтому безопасность устройств под управлением данной операционной системой находится под угрозой.

«Образец вредоносного ПО, проанализированный TrapX, является частью семейства Lemon Duck. Вредонос сканировал сеть на предмет потенциальных целей, в том числе с открытыми сетевым протоколом SMB (порт 445) или системой управления реляционными базами данных MSSQL (порт 1433). Найдя потенциальную цель, вредоносная программа запускала несколько модулей с различными функциями», — пояснили исследователи.

Одна из таких функций включала брутфорс-атаки для взлома сервисов и дальнейшей загрузки и распространения вредоносных программ через SMB-протокол или MSSQL. Другая включала «запуск invoke-mimikatz через import-модуль для получения NTLM-хэшей и дальнейшей загрузки и распространения вредоносного ПО через SMB-протокол».

Как отметили эксперты, вредоносное ПО Lemon Duck сохранило персистентность на зараженных системах с помощью запланированных задач, которые включали PowerShell-скрипты, вызывавшие дополнительные Lemon Duck PowerShell-скрипты для установки XMRig.