Lemon Duck past aanval Microsoft Exchange Server aan

Abonneer je gratis op Techzine!

Researchers van Cisco Talos hebben onderzoek gedaan naar de laatste activiteiten van de hackersgroep Lemon Duck.

De groep zet nieuwe tactieken in om onder andere misbruik te maken van Microsoft Exchange Server kwetsbaarheden en gebruikt nep-domeinen om hun activiteiten onopgemerkt te houden.

Duizenden bedrijven getroffen

Microsoft gaf eind maart aan dat het Lemon Duck-botnet was geobserveerd bij het aanvallen van kwetsbare servers. De systemen werden onder andere gebruikt voor het vergaren van cryptocurrency. De aanvallers gebruikten de zogenaamde ProxyLogon-kwetsbaarheid om Microsoft’s Exchange Server 2010, 2013 en 2016 aan te vallen. Dit is in essentie een elektronische variant van het saboteren van de toegangscontrole en het onschadelijk maken van bewakers en sloten van de hoofdingang van een bedrijf. Dit geeft iedereen vrij toegang tot het pand. Microsoft heeft in maart patches, detectietools en instructies vrijgegeven om de kwetsbaarheden aan te pakken. Naar schatting zouden alsnog zo’n 60.000 bedrijven getroffen zijn.

Nieuwe Lemon Duck-tactieken

Volgens het Cisco Talos onderzoek zou Lemon Duck zijn tactieken inmiddels hebben aangepast. De hackergroep zou nu nieuwe tools inzetten om de effectiviteit van hun aanvallen te maximaliseren. Hierbij maken ze gebruik van ernstige kwetsbaarheden in de Microsoft Exchange Server. Data verkregen uit DNS-aanvragen naar Lemon Duck-domeinen zou aangeven dat de activiteiten van de groep in april een hoogtepunt bereikten. De meeste aanvragen zouden afkomstig zijn uit de Verenigde staten, gevolgd door Europa en Zuidoost-Azië. Een bepaald Lemon Duck-domein kreeg daarbij opvallend veel query’s uit India.

De aanvallers gebruiken geautomatiseerde tools om de servers te detecteren, scannen en exploiteren voordat ze hun payloads uploaden. Deze bestaan onder andere uit web shells en Cobalt Strike DNS beacons en zorgen ervoor dat software voor het vergaren van cryptocurrency en andere malware wordt geactiveerd. PowerShell-scripts proberen er daarnaast voor te zorgen dat antivirus-software wordt verwijderd en dat diensten zoals Windows Update en Defender inactief worden.

In recente aanvallen heeft Lemon Duck het CertUtil-command-line-programma ingezet om twee nieuwe PowerShell-scripts te downloaden. Deze hebben als taak het verwijderen van antivirus-producten en het creëren van routines. Daarnaast downloaden ze een variant van de XMRig-software voor het vergaren van cryptocurrency.

Decoy top-level domeinen

Verder heeft Lemon Duck ook verschillende decoy top-level domeinen gecreëerd voor China, Japan en Zuid-Korea. Cisco Talos vindt het interessant dat de aanvallers dit soort domeinen gebruiken in de bijbehorende landen en talen in plaats van meer algemene domeinen, zoals “.com” of “.net”. Dit zouden ze mogelijk doen om effectiever command-and-controlcommunicatie tussen ander webverkeer op de getroffen server te verbergen.