Microsoft เตือนลูกค้าเกี่ยวกับมัลแวร์ LemonDuck ได้มุ่งเป้าหมายไปยังระบบ Windows และ Linux โดยทำการแพร่กระจายผ่านอีเมลฟิชชิ่ง, การโจมตีผ่านทางอุปกรณ์ USB และการโจมตีในรูปแบบ brute force attacks เช่นเดียวกับการโจมตีที่มุ่งเป้าหมายไปที่ช่องโหว่ใน Exchange Server เพื่อเข้าควบคุมและใช้ Exchange Server ในการทำขุดเหมืองบิทคอยน์
กลุ่มผู้ไม่ประสงค์ดีที่อยู่เบื้องหลัง LemonDuck ใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัย โดยใช้ช่องโหว่ที่เป็นเวอร์ชันเก่า ในขณะที่ทีมรักษาความปลอดภัยกำลังมุ่งเน้นไปที่การแก้ไขข้อบกพร่องที่สำคัญ รวมไปถึงการลบมัลแวร์ของผู้โจมตีรายอื่นออกจากอุปกรณ์ที่ถูกบุกรุก และป้องกันการติดไวรัสตัวใหม่ โดนการแก้ไขช่องโหว่เดิม
นักวิจัยของ Cisco เปิดเผยว่า LemonDuck ใช้ซอฟต์แวร์อัตโนมัติในการสแกน, ตรวจจับ และใช้ประโยชน์จากเซิร์ฟเวอร์ก่อนที่จะทำการโหลดเพย์โหลด ซึ่ง LemonDuck ได้โจมตีไปที่ประเทศจีน, สหรัฐอเมริกา, รัสเซีย, เยอรมนี, สหราชอาณาจักร, อินเดีย, เกาหลี, แคนาด,า ฝรั่งเศส, และเวียดนาม โดยมุ่งเน้นไปที่ภาคการผลิตและอุสาหกรรม IoT
โดยกลุ่มผู้ไม่ประสงค์ดีได้เพิ่มการแฮกในรูปแบบ hands-on-keyboard หรือการแฮกด้วยตนเองหลังจากการละเมิดสิทธิครั้งแรก นอกจากนี้ยังได้สร้างซอร์ฟแวร์ที่เรียกว่า automated task เพื่อใช้ช่องโหว่ของ Eternal Blue ผ่านพอร์ต SMB ซึ่งใช้ประโยชน์จากการของ NSA
ช่องโหว่ที่ถูกโจมตี ได้แก่ CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) และ CVE-2021-27065 (ProxyLogon)
Microsoft เปิดเผยว่า เมื่อมัลแวร์ LemonDuck อยู่ในเมลบ็อกซ์ มันจะพยายามเรียกใช้สคริปต์ที่ใช้ข้อมูลประจำตัวที่มีอยู่ในอุปกรณ์ ซึ่งสคริปต์จะสั่งให้เมลบ็อกซ์ส่งสำเนาของข้อความฟิชชิ่งพร้อมกับข้อความที่ถูกตั้งไว้ล่วงหน้าและไฟล์แนบสำหรับส่งถึงผู้ติดต่อทั้งหมด
คำแนะนำ
- ไม่ควรคลิกลิงค์หรือดาวน์โหลดไฟล์จากอีเมลที่ถูกส่งจากบุคคลที่ไม่รู้จัก
- อัปเดตซอฟแวร์ Antivirus และทำการสแกนอย่างสม่ำเสมอ