老牌木馬團伙“檸檬鴨”進化襲來，愛挑政府、能源等行業下手

最近，微步在線研究響應中心發現老牌木馬團伙“LemonDuck“又有新動作，出了一篇分析報告供大家參考，介于技術類干貨太多，在此提煉出大致內容，作一個導讀。

老牌木馬團伙又有新動作

“LemonDuck”（檸檬鴨）是一種主動更新且強大的惡意軟件，主要以其僵尸網絡和加密貨幣挖掘(XMR門羅幣)而聞名。

由于作惡多端，“LemonDuck”在坊間留下許多別的“名號”，比如：“驅動人生挖礦木馬”、“永恒之藍下載器”、“藍茶行動”、“黑球行動”。

微步情報局近期捕獲到多起Zegost變種木馬以及伴隨的挖礦攻擊活動，經過分析，確認為“LemonDuck”木馬的新活動。

除了保持僵尸網絡和挖礦等“傳統藝能”，LemonDuck 現在還會竊取憑據、移除安全控制、通過電子郵件傳播、橫向移動，并最終下發更多的惡意工具。

“檸檬鴨”具體長啥樣

“LemonDuck”團伙跨平臺跨行業多維度進行攻擊，危害范圍廣。微步情報局根據長期跟蹤及關聯分析，給他們“畫了一張像“：

再捋出一條版本迭代時間軸，發現LemonDuck背后的團伙至少從2018年就開始活躍，至今已經具備構造僵尸網絡、木馬開發能力，多平臺攻擊能力(Windows、Linux)。

該團伙系列木馬的重大迭代更新

經分析，微步情報局發現該團伙的“武器庫”很豐富，大量使用開源模塊，比如：XMRig、ReflectivePEInjection、FreeRDP、GetPassHashes、SMBGhost等，使其開發、攻擊成本更低。

若其感染成功，組建僵尸網絡，將形成利用僵尸網絡發起大規模DDoS攻擊和下載各種威脅木馬的隱患。

老套路和新模塊

初步傳播手段依舊以釣魚郵件、漏洞利用和USB等移動設備為主。

其中一封釣魚郵件

微步情報局發現，LemonDuck很擅長利用現下熱門的話題來誘使目標受害者打開郵件中內嵌的母體文件。

比如其中一篇標題為《The Truth of COVID-19》（新冠病毒的真相）：

表格截取自分析報告（部分）

在內嵌的母體文件運行獲取權限后，會訪問其基礎設施(下載站點)下載大量惡意腳本，進行內網橫移，實現大范圍擴散傳播。

這些下載站點的域名注冊商大部分為Epik等海外服務商，使用模塊托管下載且隱藏所有的注冊信息，避免被溯源到組織信息；

這次我們捕捉到的模塊共有17項（通用文件名和功能附在末尾附錄中），發現新增了3個模塊，名稱和功能分別是：

顯然，LemonDuck團伙已不滿足于構建僵尸網絡及挖礦盈利，還增加了信息竊取，發展肉雞和盜竊錢包等多個惡意行為。

如何確認是“檸檬鴨”

微步情報局為什么能確認，最近捕獲的惡意活動是LemonDuck所為?

首先，我們通過對本次活動的下載站點“d.tocat.co“域名分析，它的結構上與LemonDuck披露的”CAT“域名高度相似，都是采用了[a-z]{1,3}.*cat*的域名結構。

通過微步在線溯源平臺和大數據平臺進行攻擊活動回溯，可以發現該域名歷史上有多個下載.jsp后綴的powershell腳本文件。