近日，亚信安全截获“LemonDuck”（柠檬鸭）挖矿病毒的最新变种文件，本次攻击行动主要针对政府、零售与科技等行业。

该变种启用Python打包可执行文件方式进行网络攻击，重新将永恒之蓝漏洞攻击、SMB、MSSQL爆破攻击的代码添加到可执行文件中，结合之前的PowerShell脚本进行混合攻击。失陷后的系统会下载if.bin和<random>.EXE攻击模块进行大规模的漏洞扫描和攻击传播，中毒系统最终用于下载运行门罗币挖矿木马。

Cisco Talos 最近也检测到与加密货币挖掘僵尸网络 Lemon Duck 相关的活动较为频繁。

Lemon Duck

Lemon Duck 是一个可自传播的僵尸网络，主要目的是挖掘门罗币，使用的矿机是 XMR 的修改版。

Lemon Duck 是最复杂的挖矿僵尸网络之一，会使用各种不同的方法和技术来掩盖恶意操作行为。

根据思科的分析报告，Lemon Duck 最近又恢复了活跃状态。

攻击流程

 

 

 

 

更新

自从 2018 年 12 月出现以来，Lemon Duck 一直保持着更新与活跃。2020 年 8 月底，Lemon Duck 的活动明显增加了。

感染载体

思科分析确认了 12 种独立的感染载体，包括通过 SMB 共享、Redis 漏洞等方式。

Lemon Duck 用于采矿的 GPU

• GTX

• NVIDIA

• GEFORCE

• AMD

• RADEON

模块化加载

Lemon Duck 的主程序会检查用户权限以及相关环境信息，比如显卡的类型等。如果未能发现 GPU 则执行 XMRig 的 CPU 模式进行挖矿。

此外 Lemon Duck 还使用了传播模块、使用 Pyinstaller 打包的 Python 模块、破坏其他竞争对手的模块等。

开源项目

Lemon Duck 广泛使用了大量的开源 PowerShell 项目来实现自己的功能。

Invoke-TheHash by Kevin Robertson

Invoke-EternalBlue PowerShell EternalBlue port

BlueKeep RCE exploit (CVE- 2019-0708) PowerShell port

Powersploit’s reflective loader by Matt Graeber

Modified Invoke-Mimikatz PowerShell module

IOC

t[.]amynx[.]com t[.]zer9g[.]com p[.]b69kq[.]com lplp[.]ackng[.]com d[.]ackng[.]com w[.]zz3r0[.]com info[.]amynx[.]com info[.]ackng[.]com info[.]zz3r0[.]com t[.]jdjdcjq[.]top p[.]awcna[.]com t[.]zer2[.]com t[.]tr2q[.]com

172[.]104[.]7[.]85 66[.]42[.]43[.]37 207[.]154[.]225[.]82 161[.]35[.]107[.]193 167[.]99[.]154[.]202 139[.]162[.]80[.]221 128[.]199[.]183[.]160 128[.]199[.]188[.]255 167[.]71[.]158[.]207

参考来源

GBHackers TalosIntelligence