Lemon_Duck, chủng phần mềm độc hại nổi tiếng được thiết kế để thực thi các hoạt động đào tiền điện tử trái phép, mới đây đã nhận được một bản cập nhật lớn, mang đến cho chúng khả năng xâm nhập hiệu quả vào các máy tính Linux thông qua hình thức tấn công SSH brute-force, từ đó khai thác những hệ thống dễ bị tấn công SMBGhost và lây nhiễm trên các máy chủ chạy phiên bản Redis và Hadoop.
Lemon_Duck (được phát hiện cũng như xác nhận năm ngoái bởi hai tổ chức bảo mật quốc Trend Micro và SentinelOne) là chủng mã độc khai thác tiền ảo chuyên nhắm mục tiêu đến các hệ thống mạng doanh nghiệp, giành quyền truy cập dịch vụ MS SQL thông qua tấn công brute-force hoặc giao thức SMB sử dụng EternalBlue.
Sau khi lây nhiễm thành công vào một thiết bị, mã độc này sẽ âm thầm cài đặt công cụ khai thác CPU XMRig Monero (XMR) và sử dụng tài nguyên của hệ thống bị xâm phạm làm công cụ khai thác tiền điện tử trái phép cho những kẻ đứng sau điều hành mã độc mà chủ sở hữu hệ thống đó không hề hay biết.
Nhắm mục tiêu đến Linux và ứng dụng đám mây
Để tìm kiếm các thiết bị Linux mà nó có thể lây nhiễm như một phần của các cuộc tấn công SSH brute-force, Lemon_Duck sử dụng mô-đun quét cổng để dò tìm những hệ thống Linux được kết nối Internet đang hoạt động trên cổng TCP 22 và được sử dụng cho quy trình đăng nhập SSH từ xa (SSH Remote Login).
“Khi tìm thấy mục tiêu, mã độc sẽ khởi động một cuộc tấn SSH brute-force vào những máy này, với tên người dùng gốc và danh sách mật khẩu được mã hóa cứng. Nếu cuộc tấn công diễn ra suôn sẻ, shellcode độc hại sẽ được download và thực thi ngay sau đó”, nhà nghiên cứu bảo mật Rajesh Nataraj của Sophos cho biết trong một báo cáo được công bố hồi đầu tuần.
Ở giai đoạn tiếp theo, Lemon_Duck sẽ tìm kiếm nhiều thiết bị Linux hơn để lây lan payload độc hại bằng cách thu thập thông tin xác thực SSH từ tệp /.ssh/known_hosts. Đáng chú ý, các công cụ khai thác tiền mã hóa khác (nếu có) trên hệ thống bị xâm phạm cũng sẽ bị Lemon_Duck “săn lùng và tiêu diệt” để đảm bảo nó có thể chiếm hữu toàn bộ nguồn tài nguyên hệ thống cho hoạt động của mình.
Hoạt động của chủng mã độc này đang được các tổ chức an ninh mạng quốc tế theo dõi sát sao. Tuy nhiên, những kẻ đứng sau điều hành mã độc cũng liên tục cập nhật các vectơ tấn công và kỹ thuật làm nhiễu mới để tránh bị phát hiện. Đây được dự báo sẽ là một cuộc chiến phức tạp và dài hơi.