บ็อตเน็ตใหม่ที่ประกอบด้วยเซิร์ฟเวอร์ Microsoft Exchange ที่ถูกบุกรุกกำลังขุด cryptocurrency สำหรับตัวดำเนินการ รายงานแนะนำ
ตามที่นักวิจัยจากบริษัทรักษาความปลอดภัย CrowdStrike ผู้โจมตีที่ไม่รู้จักกำลังใช้บ็อตเน็ตการขุด Crypto ของ LemonDuck เพื่อกำหนดเป้าหมายเซิร์ฟเวอร์ผ่าน ProxyLogon
ด้วยการค้นหา Docker API ที่เปิดเผยสำหรับการเข้าถึงครั้งแรก ผู้โจมตีสามารถเรียกใช้คอนเทนเนอร์ที่เป็นอันตรายโดยใช้ Docker ENTRYPOINT แบบกำหนดเองเพื่อดาวน์โหลดไฟล์รูปภาพ "core.png" ซึ่งปิดบังสคริปต์ Bash
การขุด monero
หลังจากเข้าถึงครั้งแรก ผู้โจมตีสามารถดำเนินการได้หลายอย่าง: ละเมิด EternalBlue, BlueKeep หรือการแสวงหาประโยชน์ที่คล้ายคลึงกันเพื่อยกระดับสิทธิ์ ติดตั้ง cryptominers และย้ายด้านข้างผ่านเครือข่ายที่ถูกบุกรุก
พวกเขายังสามารถติดตั้งไฟล์ที่อนุญาตให้พวกเขาหลบเลี่ยงการตรวจหาโดยซอฟต์แวร์สแกนไวรัสหรือมัลแวร์ที่ติดตั้งบนปลายทางที่ถูกบุกรุก
ผู้โจมตีใช้ XMRig เป็นหลักในการขุด Monero ซึ่งเป็นสกุลเงินดิจิทัลที่เน้นความเป็นส่วนตัวซึ่งยากต่อการติดตาม
นักวิจัยอธิบายเพิ่มเติมว่า LemonDuck มาพร้อมกับไฟล์ชื่อ "a.asp" ซึ่งสามารถปิดใช้งานบริการคลาวด์ Aliyun ของอาลีบาบาได้ จึงหลบเลี่ยงการตรวจจับได้
นักวิจัยตั้งข้อสังเกตว่าผู้คุกคามไม่ได้สแกนช่วงที่อยู่ IP สาธารณะจำนวนมากสำหรับพื้นผิวการโจมตีที่สามารถหาประโยชน์ได้ . เมื่อพวกเขาพบคีย์ SSH พวกเขาจะใช้เพื่อเชื่อมต่อกับเซิร์ฟเวอร์และดำเนินการสคริปต์ที่เป็นอันตรายทั้งหมดที่กล่าวมา
นักขุด Crypto ได้รับความนิยมอย่างมากในช่วงไม่กี่ปีที่ผ่านมาด้วยราคาที่เพิ่มขึ้นของสกุลเงินดิจิตอลและความสะดวกในการขายในตลาด ดึงดูดความสนใจของผู้เล่นทั้งที่ซื่อสัตย์และไม่ซื่อสัตย์