بدافزار لمون داک در کمین بی دقتی‌های امنیتی

به گزارش خبرنگار حوزه علم و فناوری گروه علمی فرهنگی هنری خبرگزاری صدا و سیما به نقل از روابط عمومی مرکز مدیریت راهبردی افتا، نمونه‌های جدید بدافزار Lemon Duck با استفاده از دستور ویندوزی certutil و کد‌های اجرایی مخرب، بر روی دیسک ذخیره و در ادامه با استفاده از PowerShell اجرا می‌شوند.

یکسان بودن نام کاربری و رمز عبور ایجاد شده در فرمان‌ها با حساب‌های کاربری ساخته شده در حملات مبتنی بر دستور ویندوزی certutil، به همراه عواملی دیگر موجب شده است که گردانندگان همه این حملات، یک فرد یا گروه تلقی شوند.

مهاجمان در پویش بدافزار Lemon Duck با استفاده از ProxyLogon برای استخراج ارز دیجیتال به اهداف خود نفوذ می‌کنند و برخی از سرور‌های ایرانی را نیز هدف قرار داده اند.
شرکت امنیتی Sophos اعلام کرده است که نسخه جدید بدافزار لمون داک، برای ماندگاری بر روی سیستم ها، ماینر را بعنوان سرویس ویندوزی نصب می‌کند و آلودگی را در سطح شبکه گسترش می‌دهد.

مهاجمان سایبری همچنین با استفاده از تیم بدافزار، حساب کاربری با قابلیت دسترسی از راه دور، در سرور‌های قربانی ایجاد و به خوبی از سرور‌های آسیب‌پذیر Exchange سوءاستفاده می‌کنند.
کارشناسان مرکز مدیریت راهبردی افتا می‌گویند: در صورت مجهز بودن محصول امنیتی به قابلیت حفاظت از دستکاری (Tamper Protection)، تکنیک‌های مهاجمان لمون داک، بی‌ثمر خواهند بود.

مشروح اطلاعات فنی، نشانه‌های آلودگی سرور‌های قربانی شده و لینک‎ دسترسی به گزارش شرکت امنیتی Sophos در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به نشانی: www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۶۹۶ قابل دریافت و مطالعه است.