Lemon Duck复苏,重点瞄准 *** 与零售

访客4年前黑客文章506

Cisco Talos 最近检测到与加密货币挖掘僵尸 *** Lemon Duck 相关的活动较为频繁,本次攻击行动主要针对 *** 、零售与科技等行业。

攻击者使用各种技术进行恶意软件的传播,比如通过使用电子邮件、psexec、WMI、 *** B 漏洞或者发送恶意 RTF 文件等。此外,攻击者还大量利用包括臭名昭著的 Eternal Blue 和 *** BGhost 漏洞,这些漏洞广泛影响 Windows 计算机。 还有一些变种带有 RDP 暴力破解功能,包括使用 Mimikatz 等开源工具。

Lemon Duck

Lemon Duck 是一个可自传播的僵尸 *** ,主要目的是挖掘门罗币,使用的矿机是 XMR 的修改版。

Lemon Duck 是最复杂的挖矿僵尸 *** 之一,会使用各种不同的 *** 和技术来掩盖恶意操作行为。

根据思科的分析报告,Lemon Duck 最近又恢复了活跃状态。

更新

自从 2018 年 12 月出现以来,Lemon Duck 一直保持着更新与活跃。2020 年 8 月底,Lemon Duck 的活动明显增加了。

感染载体

思科分析确认了 12 种独立的感染载体,包括通过 *** B 共享、Redis 漏洞等方式。

Lemon Duck 用于采矿的 GPU

  • GTX
  • NVIDIA
  • GEFORCE
  • AMD
  • RADEON

模块化加载

Lemon Duck 的主程序会检查用户权限以及相关环境信息,比如显卡的类型等。如果未能发现 GPU 则执行 XMRig 的 CPU 模式进行挖矿。

此外 Lemon Duck 还使用了传播模块、使用 Pyinstaller 打包的 Python 模块、破坏其他竞争对手的模块等。

开源项目

Lemon Duck 广泛使用了大量的开源 PowerShell 项目来实现自己的功能。

Invoke-TheHash by Kevin Robertson

Invoke-EternalBlue PowerShell EternalBlue port

BlueKeep RCE exploit (CVE- 2019-0708) PowerShell port

Powersploit’s reflective loader by Matt Graeber

Modified Invoke-Mimikatz PowerShell module

IOC

t[.]amynx[.]com
t[.]zer9g[.]com
p[.]b69kq[.]com
lplp[.]ackng[.]com
d[.]ackng[.]com
w[.]zz3r0[.]com
info[.]amynx[.]com
info[.]ackng[.]com
info[.]zz3r0[.]com
t[.]jdjdcjq[.]top
p[.]awcna[.]com
t[.]zer2[.]com
t[.]tr2q[.]com

172[.]104[.]7[.]85
66[.]42[.]43[.]37
207[.]154[.]225[.]82
161[.]35[.]107[.]193
167[.]99[.]154[.]202
139[.]162[.]80[.]221
128[.]199[.]183[.]160
128[.]199[.]188[.]255
167[.]71[.]158[.]207

参考来源

GBHackers
TalosIntelligence

相关文章

黑客找qq是不是真的-2011年ko黑客攻击事件(2011年索尼黑客攻击)

黑客找qq是不是真的-2011年ko黑客攻击事件(2011年索尼黑客攻击)

黑客找qq是不是真的相关问题 2008年黑客事件相关问题 黑客会编程能干什么 如何成为一名厉害的黑客(成为一名黑客要学什么)...

银行贷款钱怎么赚钱?行贷款贷越多赚越多

银行贷款是不是贷的年限越少,我们还的利息越少?对自己来说,这样是不是更省?其实不是。你不知道的房贷真相,是你贷的越多,赚的越多。 我们总结一下,房产规划在我们理财生涯中的合理安排。 一、如果贷款,...

24岁辅警执勤中被撞牺牲令人心痛 辅警马勇个人资料照片年仅24岁

24岁辅警执勤中被撞牺牲令人心痛 辅警马勇个人资料照片年仅24岁

据@铜陵公安在线:24日晚,安徽铜陵交警支队二大队开展酒驾查处统一行动,执勤民警陈玉国、刘涛,辅警马勇、王军被一小型越野车撞倒,辅警马勇经抢救无效不幸牺牲,年仅24岁。其他三人不同程度受伤。驾驶员...

虚拟货币是怎么赚钱的?炒虚拟货币可获得十倍盈利?

虚拟货币是怎么赚钱的?炒虚拟货币可获得十倍盈利?

  5月21日,山东省烟台市公安局经过20多天的连续奋战,在深圳、惠州、合肥三地同时收网,成功打掉一个以“虚拟货币投资”为幌子,利用假投资平台实施诈骗的电信网络诈骗团伙,刑拘犯罪嫌疑人16名,扣...

在一起陈数原型是谁 陈数陈如原型故事

《在一起》陈数出演的战神山模块打动了很多人,剧里每一个人物角色全是历经真实故事改写而成,很多人针对陈如创作背景还不掌握,他们为抵御肺炎疫情作出了巨大贡献,陈数原形到底是谁?下边产生详细介绍。 在一起...

国际知名黑客twitter(国外黑客)

国际知名黑客twitter(国外黑客)

2013年国际十大互联网安全事件的科技巨头被入侵 1、Apple、Facebook 、Twitter 等科技巨头相继被入侵,用户数据泄漏2013年2月16日,Apple、Facebook 和 Twit...