【安全资讯】研究人员披露针对企业的挖矿攻击LemonDuck

Bitdefender研究人员仔细研究了入侵企业进行挖矿的攻击活动LemonDuck。LemonDuck攻击使用多种初始访问途径，包括利用网络钓鱼邮件、EternalBlue、RDP、SSH、SQL帐户；使用无文件执行直到释放最后的有效载荷；通过WMI和计划任务实现持久性；使用专用模块和各种技术进行横向移动；利用公开可用的工具XMRig、PingCastle、PowerSploit来实现挖矿。

系统上的感染可以通过多种方式开始，执行流程图如下：

（ LemonDuck执行流程）

该恶意活动的唯一目标是感染尽可能多的系统，劫持它们的资源。这些组件有时会向攻击者发送报告。这些报告包含有关开发状态和新感染的系统信息(IP，电子邮件地址)。

该恶意软件的感染链表明，攻击者可以在系统上部署高级恶意软件，并利用他们广泛收集的横向移动技术感染多个机器。

受该恶意活动影响最严重的地区为china，受害国家分布图如下：

<lock v:ext="edit" aspectratio="t">
</lock>

（受害国家分布概览图）

<lock v:ext="edit" aspectratio="t">
</lock>

结论：

LemonDuck背后的攻击者改进了恶意软件的传播方式，使其可以通过各种方式传递给受害者，比如通过网络钓鱼，利用使用强制密码的有效账户。它还应用无文件执行和所有防御规避技术，并且LemonDuck一旦系统被感染，还可以最大限度地利用可用资源。

防御此类攻击最有效的方法是加强密码，并更新操作系统和第三方软件。