Le botnet Lemon Duck évolue pour frapper les victimes en utilisant les vulnérabilités de Microsoft Exchange Server.
Source : Pc-boost.com
Publié le : mardi 11 mai 2021 à 06:35
Le botnet Lemon Duck évolue pour frapper les victimes en utilisant les vulnérabilités de Microsoft Exchange Server. Lorsqu'il a été découvert que Microsoft Exchange sur site était vulnérable aux pirates informatiques, des ravages ont été causés dans un grand nombre de secteurs. Depuis lors, le FBI a obtenu une ordonnance du tribunal lui permettant de supprimer les portes dérobées des serveurs piratés, mais il est probable que de nombreux serveurs Exchange piratés existent encore. Ces derniers jours, les chercheurs ont remarqué une augmentation des requêtes DNS ainsi que de nouvelles infrastructures et de nouveaux composants associés au botnet de minage de crypto-monnaies Lemon Duck qui ciblait ces serveurs Exchange vulnérables. En mars, Microsoft a été le premier à s'emparer de Lemon Duck "en adoptant différents styles d'exploit et en choisissant d'utiliser une option sans fichier/web shell des commandes directes PowerShell" pour certaines attaques. Ils ont réussi à compromettre de nombreux serveurs Exchange, en déposant des mineurs de crypto-monnaies en cours de route, mais ont lentement "évolué dans le sens d'être plus un chargeur de logiciels malveillants qu'un simple mineur." Depuis avril, Talos suit Lemon Duck et observe une infrastructure mise à jour et de nouveaux composants ciblant les serveurs Microsoft Exchange non patchés et tentant ensuite de télécharger les balises DNS Cobalt Strike, ce qui rejoint les conclusions de Microsoft sur Lemon Duck. Vendredi, les chercheurs de Cisco Talos ont publié une analyse approfondie du botnet Lemon Duck, expliquant les "tactiques, techniques et procédures (TTP) actualisées associées à cet acteur de la menace". Talos a noté que plusieurs nouveaux domaines de Lemon Duck ont connu un pic d'utilisation autour du 9 avril de cette année. Il est rapporté que beaucoup de ces demandes "provenaient d'Amérique du Nord, puis d'Europe, d'Asie du Sud-Est, et quelques autres d'Amérique du Sud et d'Afrique". Ce qui est intéressant dans tout cela, c'est que Lemon Duck change constamment ses tactiques pour "maximiser leur capacité à atteindre les objectifs de leur mission." L'acteur de la menace a été trouvé pour supprimer les produits antivirus, démolir les protections et tenter de se répandre sur les réseaux pour maintenir un flux de revenus. Quelle que soit la méthode mise au point par les attaquants, les entreprises doivent être conscientes que les pirates sont toujours là pour gagner de l'argent et attaquer les systèmes. Si vous disposez d'un serveur Exchange sur site, sachez qu'il doit être corrigé et vérifié pour s'assurer qu'il n'a pas été piraté. Sinon, vous pourriez avoir à vous soucier de Lemon Duck prochainement. HOTHARDWARE