Как вредоносное ПО LemonDuck нацелено на бизнес и как оставаться в безопасности
Ситуация с угрозами кибербезопасности значительно ухудшилась с начала пандемии COVID-19. Бизнес и предприниматели подвергаются большему риску, чем когда-либо прежде; Фактически, по данным AV-Test Institute of IT Security, Германия, в 2020 году было обнаружено 137,7 миллиона новых образцов вредоносных программ. По состоянию на август 2021 года уже было обнаружено 117 миллионов новых образцов вредоносных программ.
Однако не совсем новое вредоносное ПО снова набирает обороты и нацелено на ПК с Windows. Это вредоносное ПО LemonDuck, и, хотя это может показаться забавным, оно способно украсть ваши данные и нанести ущерб вашим системам. Итак, давайте рассмотрим его опасности и то, как вы или ваш бизнес можете оставаться в безопасности.
Что такое вредоносное ПО LemonDuck?
LemonDuck – это активно обновляемая и надежная вредоносная программа, которая находится в поле зрения кибербезопасности с мая 2019 года. Сначала она получила дурную славу из-за атак с использованием ботнетов и майнинга криптовалюты, а с тех пор превратилась в очень сложную вредоносную программу.
LemonDuck – это кроссплатформенная угроза, которая нацелена как на ваши устройства Windows, так и на Linux. Он использует множество различных векторов атак для своего распространения, такие как фишинговые электронные письма, эксплойты, USB-устройства и грубая сила, среди прочего. Microsoft предупредила, что LemonDuck теперь не только использует ресурсы для своих традиционных действий ботов и майнинга, но и может украсть ваши учетные данные и удалить элементы управления безопасностью из ваших систем.
Он не заботится о границах доменов и перемещается поперек ваших приложений, конечных точек, идентификаторов пользователей и доменов данных. Он может устанавливать инструменты для будущих атак, управляемых человеком, и защита ваших систем может оказаться сложной задачей, если вы не знаете, что делаете.
Почему вы должны серьезно относиться к угрозе с лимонной уткой
Изначально LemonDuck нацелился в основном на Китай и не пошел дальше этого. Сегодня его деятельность расширилась до нескольких стран: США, Россия, Китай, Германия, Великобритания, Индия, Корея, Канада, Франция и Вьетнам пострадали больше всего за последнее время.
LemonDuck заражает системы, маскируясь под безобидные файлы, которые мы видим каждый день. Его легко стать жертвой, поскольку он использует текущие новости, события или выпуск новых эксплойтов для проведения эффективных кампаний и заманивания своих целей.
Например, в сообщении Microsoft, в котором обсуждается вредоносное ПО, говорится, что LemonDuck использовала приманки на тему COVID-19 в атаках по электронной почте еще в 2020 году. В 2021 году компания использовала недавно исправленные уязвимости Exchange Server, чтобы получить доступ к устаревшим системам.
Более того, LemonDuck не останавливается на использовании новых или популярных уязвимостей. Если ваша организация имеет старые незащищенные уязвимости в своей системе, LemonDuck может использовать их, пока вы сосредотачиваетесь на исправлении новой уязвимости, а не на том, что уже известно.
Что делает LemonDuck еще более опасным, так это то, что он не терпит других нападающих. Фактически, LemonDuck удаляет их со взломанного устройства, избавляясь от конкурирующих вредоносных программ. Он также предотвращает любые новые заражения, исправляя те же уязвимости, которые использовались для получения доступа.
Следите за злым двойником LemonDuck, LemonCat
Группа аналитики угроз Microsoft 365 Defender также раскрыла инфраструктуру LemonCat в своем отчете. LemonCat также использует вредоносное ПО LemonDuck, но другая организация использует его в своих целях.
Он использует два домена со словом «кошка» в своих доменах (sqlnetcat [.] Com, netcatkit [.] Com) и был замечен в использовании уязвимостей в Microsoft Exchange Server, когда он появился в январе 2021 года.
Вам следует опасаться LemonCat, поскольку он используется для опасных операций, которые ставят под угрозу ваши данные и системы. Сегодня хакеры используют LemonCat для установки бэкдоров, учетных данных и кражи данных, а также для доставки полезных нагрузок вредоносными программами, такими как троян для Windows «Ramnit».
Но тот факт, что LemonCat используется для более опасных атак, не означает, что вы должны относиться к вредоносному ПО LemonDuck менее серьезно. Фактически, эти результаты показывают, насколько опасна эта двойная угроза для устройств Windows. Злоумышленники могут повторно использовать тот же набор инструментов, доступа и методов с динамическими интервалами, чтобы нанести больший ущерб вашему предприятию, чем предполагалось ранее.
Как вы можете оставаться в безопасности с помощью Microsoft 365 Defender
Надеюсь, у вас уже есть система, которая может защитить вас от угроз кибербезопасности. Например, у вас уже может быть эффективное антивирусное программное обеспечение и установленные инструменты безопасности в ваших системах. В противном случае вам следует подумать о приобретении Microsoft 365 Defender, если вам нужна защита на корпоративном уровне.
Microsoft 365 Defender – это единый пакет корпоративной защиты, который включает в себя Microsoft Defender для конечных точек, Microsoft Defender для Office 365, Microsoft Defender для Identity и решения Microsoft Cloud App Security.
Microsoft 365 Defender может помочь вам обнаруживать угрозы безопасности, расследовать атаки на вашу организацию и автоматически предотвращать вредоносные действия. Это интегрированное междоменное решение для обнаружения и реагирования на угрозы предоставляет вашей организации скоординированную и автоматическую защиту для блокировки угроз до того, как они станут атаками.
Его лучшие в отрасли средства защиты на основе искусственного интеллекта могут помочь вам преодолеть широкие и сложные угрозы LemonDuck. Хорошим примером является Microsoft 365 Defender для Office 365, который обнаруживает вредоносные электронные письма, отправленные ботнетом LemonDuck, для доставки вредоносных полезных нагрузок.
С другой стороны, Microsoft Defender for Endpoint обнаруживает и блокирует имплантаты LemonDuck, полезные нагрузки и вредоносную активность на устройствах Linux и Windows.
С Microsoft 365 Defender у вас есть обширные инструменты расследования, которые ваша группа безопасности может использовать, чтобы выявить обнаружение активности LemonDuck. Он анализирует и нормализует предупреждения и связанные события и объединяет их в инциденты, чтобы дать вам полное представление и контекст атаки – все на единой информационной панели.
Более того, он даже выявляет попытки взлома и закрепления в сети, поэтому группы по обеспечению безопасности могут эффективно и уверенно реагировать на эти атаки и устранять их.
Как развернуть Защитник Microsoft 365 для вашего предприятия
Как описано в официальной документации по Защитнику Microsoft 365 , служба автоматически включается, если соответствующий клиент с необходимыми разрешениями посещает портал Защитника Microsoft 365.
Вы можете использовать Microsoft 365 Defender без дополнительных затрат, если у вас есть лицензия на продукт безопасности Microsoft 365, такой как Microsoft 365 E5 или A5, Windows 10 Enterprise E5 или A5 и Office 365 E5 или A5.
Что еще делать, чтобы LemonDuck оставался в страхе
Вы также можете применить определенные меры для усиления защиты и снижения воздействия вредоносного ПО LemonDuck.
- Регулярно сканируйте свои USB-накопители и съемные устройства хранения данных и блокируйте их на чувствительных устройствах. Также следует отключить автозапуск и включить защиту от вирусов в реальном времени.
- Остерегайтесь подозрительных писем. LemonDuck использовал атаки по электронной почте на такие темы, как «Правда о COVID-19», «HALTH ADVISORY: CORONA VIRUS», «Что за херня», «Это ваш заказ?» и более. Для этих приманок используются три типа вложений: .doc, .js или .zip, содержащий. файл. Независимо от типа файл называется «readme». Иногда вы найдете все три в одном письме.
- Поощряйте использование веб-браузеров, поддерживающих SmartScreen, в вашей организации. SmartScreen выявляет и блокирует вредоносные веб-сайты, в том числе фишинговые, мошеннические и сайты, содержащие эксплойты и вредоносные программы.
Есть и другие важные рекомендации по снижению риска, о которых вы можете прочитать во второй части серии блогов Microsoft . Там вы также сможете изучить подробный технический анализ вредоносных действий, которые следуют за заражением LemonDuck, и получите руководство по расследованию атак LemonDuck.
Защитите свою организацию
LemonDuck и LemonCat – это угрозы, к которым вы должны относиться серьезно. Постоянно развивающиеся многокомпонентные вредоносные программы, подобные этим, могут изобретать новые способы доступа и нанесения вреда вашим устройствам Windows и вашим бизнес-активам.
Однако вы можете оставаться в безопасности, оставаясь начеку, в курсе последних событий и делая разумный выбор. Например, развертывание надежного инструмента безопасности, такого как Microsoft 365 Defender, чтобы ваша группа безопасности могла обнаруживать, анализировать и устранять угрозы до того, как они нанесут вред.