Se ha observado que LemonDuck, un notorio malware de criptominería, ataca servidores Windows al explotar vulnerabilidades conocidas en el protocolo Server Message Block (SMB) de Microsoft, incluida la falla EternalBlue rastreada como CVE-2017-0144. El malware ha evolucionado hasta convertirse en una amenaza más avanzada capaz de robar credenciales, enriquecida con técnicas de evasión de detección y propagándose a través de múltiples vectores de ataque. Detecte ataques de malware LemonDuck que exploten las vulnerabilidades de las PYMES en servidores Windows Los ataques de criptominería han aumentado en los últimos años, lo que hace que sea crucial crear conciencia sobre el cryptojacking. Una campaña reciente de los operadores de criptomineros LemonDuck ejemplifica esta creciente amenaza, explotando las vulnerabilidades de las PYMES de Microsoft Server, como EternalBlue, mientras utiliza sofisticadas técnicas de evasión para maximizar su impacto. Para mantenerse al tanto de los ataques de LemonDuck, los ciberdefensores pueden confiar en SOC Prime Platform para la ciberdefensa colectiva agregando reglas de detección personalizadas respaldadas por un conjunto completo de productos para la detección avanzada de amenazas, la búsqueda automatizada de amenazas y la ingeniería de detección impulsada por IA. Simplemente presione el botón Explorar detecciones para profundizar inmediatamente en una colección relevante de reglas Sigma. Explore las detecciones El equipo SOC Prime, en colaboración con desarrolladores expertos de Threat Bounty, ha desarrollado 13 reglas de detección diseñadas para identificar actividades maliciosas relacionadas con los ataques de LemonDuck. Estas reglas son totalmente compatibles con más de 30 plataformas SIEM, EDR y Data Lake y están alineadas con el marco MITRE ATT&CK®. Cada regla de detección se mejora con metadatos enriquecidos, como enlaces de inteligencia sobre amenazas, cronogramas de ataques, sugerencias de clasificación, recomendaciones de auditoría y otros conocimientos valiosos para ayudar en la detección eficaz de amenazas. ¿Está interesado en unirse a la iniciativa de crowdsourcing de SOC Prime? Los profesionales capacitados en ciberseguridad que buscan mejorar su experiencia en ingeniería de detección y caza de amenazas pueden contribuir a la industria participando en nuestro programa Threat Bounty. Esta iniciativa permite a los creadores de contenido de detección no solo perfeccionar sus habilidades sino también obtener recompensas financieras, al mismo tiempo que desempeña un papel crucial en el fortalecimiento de los esfuerzos globales de ciberseguridad. Análisis de malware de LemonDuck Con el aumento significativo del malware criptográfico diseñado para realizar minería ilegal (criptojacking) y la evolución continua de este tipo de cepas maliciosas, las organizaciones globales y los usuarios individuales están buscando formas de mejorar sus capacidades defensivas. NetbyteSEC publicó actualmente una investigación sobre el malware LemonDuck, que ha evolucionado desde una simple botnet de minería de criptomonedas hasta una amenaza más sofisticada dirigida a servidores Windows desde su aparición en 2019. Se ha detectado que LemonDuck utiliza como arma la conocida vulnerabilidad EternalBlue (CVE-2017-0144) junto con otras fallas de Microsoft SMB para infiltrarse en redes, desactivar medidas de seguridad y extraer criptomonedas. El malware aplica múltiples vectores de infección, incluidos correos electrónicos de phishing, es capaz de realizar ataques de fuerza bruta a contraseñas y emplea PowerShell para evadir la detección e implementar cargas útiles maliciosas para el criptojacking. En las etapas iniciales del ataque, los adversarios aprovecharon la dirección IP 211.22.131.99 para realizar ataques de fuerza bruta contra la máquina SMB y obtuvieron acceso exitosamente iniciando sesión como un usuario local llamado Administrador. Después de iniciar sesión en la cuenta, los atacantes configuraron un recurso compartido administrativo oculto para la unidad C:, otorgando acceso remoto a la unidad a usuarios con credenciales elevadas. Este recurso compartido oculto permitió a los adversarios mantener la persistencia, obtener acceso remoto y evitar la detección mientras llevaban a cabo acciones maliciosas a través de archivos por lotes y scripts de PowerShell. Este último implica configurar la explotación de la red, descargar y ejecutar scripts, crear y cambiar el nombre de ejecutables, configurar tareas programadas para la persistencia, alterar las reglas del firewall, iniciar el controlador y forzar reinicios del sistema como medio de detección de evasión y análisis antimalware. El ataque finaliza con una limpieza para obstaculizar los rastros de infección y la ejecución final. El malware desactiva el monitoreo en tiempo real de Windows Defender y realiza otras operaciones ofensivas para mantener el sigilo y facilitar la comunicación C2, lo que permite a los atacantes controlar el sistema o filtrar datos mientras evaden la detección de las herramientas de seguridad. Además, LemonDuck intenta descargar más scripts maliciosos y utiliza Mimikatz para robar credenciales, lo que potencialmente le permite moverse lateralmente dentro de la red. Con la evolución del malware sigiloso de criptominería LemonDuck que aprovecha múltiples técnicas de evasión de detección, se alienta a las organizaciones a actualizar periódicamente todos los sistemas operativos y software para protegerse contra vulnerabilidades conocidas de las PYMES como EternalBlue y reducir los riesgos de compromiso. Al confiar en la plataforma SOC Prime para la ciberdefensa colectiva, los ingenieros de seguridad pueden crear una postura de ciberseguridad preparada para el futuro para estar siempre por delante de las amenazas emergentes. Categoría y etiquetas: Blog,Últimas amenazas,Contenido de detección,LemonDuck,Malware,Sigma,Programa Threat Bounty – Blog,Últimas amenazas,Contenido de detección,LemonDuck,Malware,Sigma,Programa Threat Bounty