Lemon Duck kann weit mehr als nur Cryptominig
Sophos Technology GmbH

Lemon Duck kann weit mehr als nur Cryptominig

ID: 1839693

Deutschland hat mittleres Bedrohungspotenzial, in Asien sind die Spitzenreiter / "Professionelle" Weiterentwicklung von Lemon Duck sorgt für ständig neue Angriffsvektoren - auch auf Linux



(PresseBox) - Lemon Duck ist eine der Malware-Typen, die von den Cyberkriminellen kontinuierlich weiterentwickelt werden. Grund dafür ist, dass der Cryptominer durch die ständigen Updates ein lukratives Geschäft verspricht. Die Schadsoftware nutzt intensiv die Computerressourcen ihrer Opfer, um Crypto-Geschäfte schneller und mit viel Gewinn abzuwickeln. Hinzu kommt, dass sich Cryptominer hervorragend für weitere Angriffe eignen, indem die infizierten Rechner als Stützpunkt für die Verbreitung anderer Schadcodes im Netzwerk dienen. Lemon Duck ist nach den Beobachtungen der SophosLabs einer der auffälligsten Cryptominer, von dem durch immer neu hinzugefügte Angriffsvektoren und Verschleierungstechniken eine kontinuierlich hohe Bedrohungslage ausgeht. Ein entscheidendes Kriterium für den Erfolg von Lemon Duck ist das dateilose Konzept: die Malware bleibt im Speicher und hinterlässt damit keine Spuren im Dateisystem. Laut jüngsten Einschätzungen der SophosLabs liegt Deutschland im weltweiten Vergleich im Mittelfeld des Bedrohungspotenzials. In Europa ist Großbritannien mit am meisten betroffen, weltweit liegen Singapur, Taiwan, Teile von China und die Philippinen an der Spitze der Angriffe.

Neue Angriffsvektoren erhöhen Bedrohungslage

Das Unangenehme an einer Malware wie Lemon Duck ist die beständige Unbeständigkeit. Die kontinuierliche Aktualisierung der Angriffsvektoren machen es schwer, die Malware mit herkömmlichen Security-Programmen ohne automatisierte Verhaltens- und Mustererkennung zu entdecken und einzugrenzen.

Die Kriminellen hinter Lemon Duck sind dabei besonders kreativ und nutzen aktuelle Ereignisse, um mit der Malware auch über Spam zu verbreiten. Dabei bauen sie auf die vielen technischen Möglichkeiten von Lemon Duck, um die Spam-Mails authentisch aussehen zu lassen. In der Folge kann ein infizierter Computer selbst zum Spam-Super-Spreader werden indem er an all seine Mailkontakte die Spam-Nachricht versendet.

Lemon Duck nutzt auch die SMBGhost-Schwachstelle aus und sendet ein speziell erstelltes Paket gezielt an SMBv3-Server. Microsoft hat im März 2020 einen Security Patch veröffentlicht ? in wieweit alle Windows 10 Betriebssysteme auf dem neuesten Stand gebracht worden sind, bleibt offen.



Die Lemon Duck-Akteure verwenden zudem auch den Exploit-Code für EternalBlue und eine Implementierung von Mimikatz. Besonders interessant ist, dass sie nach dem Angriff und der Ausführung des bösartigen Codes beginnen, die SMBv3-Komprimierung über die Registrierung zu deaktivieren und die Standard-SMB-Netzwerkports 445 & 135 zu blockieren. Damit hindern sie andere Hacker daran, über die gleiche Schwachstelle einzudringen, die sie ausgenutzt haben. Es scheint, als ob ein ausgeprägtes Konkurrenzdenken unter den Cybergangstern besteht.

Ein weiterer beliebter Angriffsvektor ist der binäre BruteForce-Angriff unter Zuhilfenahme von EternalBlue. Der Miner lädt eine bösartige ausführbare Datei in das Temp-Verzeichnis. Diese python-kompilierte Binärdatei lädt dann eine Komponente von Mimikatz, die versucht, eine zufällige Liste von IP-Adressen zu generieren, um nach Schwachstellen für den EternalBlue-Exploit zu suchen. Besonders bemerkenswert ist der SSH-BruteForce-Angriffsvektor, mit dem das Crypto-Mining auch auf Linux ausgeweitet wird. Ziel sind also schon lange nicht mehr nur Windows-Systeme.

Zusätzliche Details über die Lemon Duck Angriffsvektoren stehen auf dem Sophos Blog zur Verfügung unter: https://news.sophos.com/en-us/2020/08/25/lemon_duck-cryptominer-targets-cloud-apps-linux/

Weitere Infos zu dieser Pressemeldung:
https://

Unternehmensinformation / Kurzprofil:
drucken  als PDF  Zerto? arbeiten ohne Systemunterbrüche Praxisanleitung: Synology NAS als Private Cloud und Home Server nutzen
Bereitgestellt von Benutzer: PresseBox
Datum: 27.08.2020 - 10:24 Uhr
Sprache: Deutsch
News-ID 1839693
Anzahl Zeichen: 3935

Kontakt-Informationen:
Stadt:

Wiesbaden



Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 1001 mal aufgerufen.

Juristisches zu dieser Pressemitteilung

Die Pressemitteilung mit dem Titel:
"Lemon Duck kann weit mehr als nur Cryptominig"
steht unter der journalistisch-redaktionellen Verantwortung von

Sophos Technology GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

PresseMitteilung löschen Pressemitteilung ändern PresseMitteilung beanstanden
Weitere Mitteilungen von Sophos Technology GmbH
Compliance wächst schneller als die Kapazitäten der IT-Teams ...
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun

Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit

Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru


Weitere Mitteilungen von Sophos Technology GmbH


Aktuelle Mitteilungen aus der Kategorie: New Media & Software
Neu bei uns - PICO52R ...
Mit dem PICO52R nimmt Axiomtek ein neues 2,5-Zoll PICO-ITX Board in sein Produktportfolio auf. Der PICO52R beinhaltet einen Intel® Core? i7/i5/i3 und Celeron®-Prozessor der 8. Generation (Codename: Whiskey Lake). Dabei verfügt das Board unter anderem über eine Onboard-CPU. Durch sein besond

plentymarkets in den Top 10 deutscher Shopsysteme: Jochen G. Fuchs peilt mit "plentySHOP" Platz drei an ...
Der bekannte Handelsexperte Jochen G. Fuchs, in der E-Commerce-Branche "Der E-Fuchs" genannt, steuert als neuer Product Owner bei plentymarkets zukünftig die strategische Weiterentwicklung der SaaS-Anwendung "plentySHOP". Diese läuft komplett in der Cloud und unterscheidet sich

Maschinen und Anlagen werden fit für Industrie 4.0 - IIoT Komplettlösung aus einer Hand ...
Der Alarm an der Maschine leuchtet auf, ein Problem ist aufgetreten, die Maschine steht still. Der Servicetechniker wird verständigt. Er kommt in die Produktion, überprüft den Fehler und behebt ihn im besten Fall sofort. Trotzdem geht wertvolle Produktionszeit verloren und kostet dem Unternehmen

Trotz Corona hält mehr als die Hälfte der Deutschen an Zahlungen mit Bargeld fest ...
Die Deutschen bleiben beim Bargeld, trotz der Aufforderung, wegen der Corona-Pandemie auf bargeldlose Zahlungen umzusteigen: Nur 47 Prozent der Verbraucher zahlen beim Einkaufen häufiger mit Münzen und Scheinen als vor der Krise. Das zeigt eine repräsentative Umfrage von G DATA CyberDefense zum T


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z