Han pasado más de dos meses desde que Microsoft lanzó un conjunto de parches de emergencia para cuatro vulnerabilidades de Exchange Server que permitirían la ejecución de código remoto. Sin embargo, eso no impidió que hayan causado estragos en miles de organizaciones de todo el mundo y que todavía se estén explotando con fines maliciosos, ya que los servidores que aún no están actualizados siguen expuestos a una amplia gama de ataques.
En un primer momento, Microsoft atribuyó los ciberataques dirigidos a Exchange al grupo APT Hafnium, pero solo unos días después ESET descubrió que al menos otros 10 grupos APT estaban secuestrando servidores de correo de todo el mundo. Posteriormente, a finales de marzo, la compañía de Bill Gates señaló que se había observado que la botnet Lemon Duck explotaba servidores vulnerables y utilizaba los sistemas para extraer criptomonedas. Ahora, los investigadores de Cisco Talos lo han confirmado aportando detalles de las nuevas tácticas que está utilizando para "maximizar la efectividad de sus campañas".
"Talos ha observado varios cambios recientes en las tácticas, técnicas y procedimientos utilizados por Lemon Duck. Esto demuestra que este actor de amenazas está evolucionando continuamente su enfoque para maximizar su capacidad para lograr los objetivos de su misión", señala la compañía de ciberseguridad.
Según los datos obtenidos de las solicitudes de DNS a los dominios de Lemon Duck, la actividad del grupo alcanzó su punto máximo en abril. La mayoría de las consultas proceden de Estados Unidos, seguido de Europa y del sudeste asiático. También se observó un aumento sustancial en las consultas a un dominio particular de Lemon Duck en India.
Las herramientas que utiliza Lemon Duck
Según la investigación de Cisco Talos, los operadores de Lemon Duck utilizan herramientas automatizadas para escanear, detectar y explotar los servidores antes de que se lleven a cabo cargas útiles como DNS Cobalt Strike y web shells, que conducen a la ejecución de software de minería de criptomonedas y malware adicional.
El malware y los scripts de PowerShell asociados también intentan eliminar el software antivirus y detener servicios como Windows Defender y Update, que podrían obstaculizar un intento de infección.
Tal y como explica ZDNet, las tareas programadas se crean para mantener la persistencia y, en campañas recientes, el programa de línea de comandos CertUtil se utiliza para descargar dos nuevos scripts de PowerShell que tienen tres objetivos: eliminar productos AV, crear rutinas de persistencia y descargar una variante del minero de criptomonedas XMRig.
Lemon duck también ha estado creando dominios señuelo de nivel superior (TLD) para China, Japón y Corea del Sur. "Teniendo en cuenta que estos ccTLD se utilizan con mayor frecuencia para sitios web en sus respectivos países e idiomas, también es interesante que se hayan utilizado, en lugar de TLD más genéricos y de uso mundial como '.com' o '.net', señala Cisco Talos. "Esto puede permitir al actor de la amenaza ocultar de manera más efectiva las comunicaciones C2 entre otro tráfico web presente en los entornos de las víctimas".
Superposiciones entre Lemon Duck y Beapy
Además, la firma de ciberseguridad ha observado superposiciones entre la botnet Lemon Duck y el malware de criptomonedas Beapy, también conocido como Pcastle.
"Lemon Duck continúa lanzando campañas contra sistemas en todo el mundo, intentando aprovechar los sistemas infectados para extraer criptomonedas y generar ingresos para el adversario detrás de esta botnet", indican los investigadores.
"El uso de nuevas herramientas como Cobalt Strike, así como la implementación de técnicas de ofuscación adicionales a lo largo del ciclo de vida del ataque, puede permitirles operar de manera más efectiva durante períodos más largos dentro de los entornos de las víctimas. Los nuevos TTP consistentes con los relacionados con la explotación generalizada de vulnerabilidades de software de Microsoft Exchange de alto perfil, y la evidencia adicional basada en el host sugiere que este actor de amenazas ahora también está mostrando un interés específico en apuntar a los servidores Exchange cuando intentan comprometer sistemas adicionales y mantener y/o aumentar el número de sistemas dentro de la botnet Lemon Duck", concluyen.