僵尸网络程式也用Exchange漏洞发动挖矿攻击

Exchange Server漏洞未补后患无穷。继国家骇客、勒索软件后，安全厂商发现，一款名为Lemon Duck（黄色小鸭）的僵尸网络程式，现在也开始锁定攻击Exchange Server的漏洞。

Lemon Duck是一款以挖门罗币（Monero）为目的僵尸网络程式。卡巴斯基全球研究与分析小组主任Costin Raiu指出，Lemon Duck背后的骇客正在大规模开采Exchange Server的ProxyLogon漏洞，以散布这个挖矿程式。

Lemon Duck背后的运作组织并非Hafnium，目的在利用受害装置挖矿，至少2018年底即已出现。去年底，思科研究人员发现它开采Windows BlueKeep漏洞以感染Windows 10系统。卡巴斯基去年2月也侦测到Lemon Duck攻击连结Windows 7系统的打印机、智慧电视或自驾车车上系统，串联挖矿僵尸网络。

Lemon Duck这个程式会透过许多途径，包括电子邮件、psexec、WMI及SMB开采程式（如Eternal Blue、SMB Ghost）等散布，但除了Windows系统外，它也能感染Linux机器、MS SQL服务器、Redis及Hadoop丛集服务器。此外它还能利用Windows安全测试工具Mimikatz来窃取系统密码以利扩大感染范围。Bleeping Computer引述安全厂商Sophos研究人员的话指出，Lemon Duck属于技术最高明的挖矿软件之一。

针对Lemon Duck，卡巴斯基提供了攻击指标p.estonine[.]com、cdn.chatcdn[.]net及杂凑供企业IT管理员检查内部系统安全。

不过这并非第一波搭上Exchange Server漏洞攻击列车的挖矿软件。上周ESET发现在微软公布漏洞后几天内，就有DLTMiner已经升高活动。

上周安全研究人员Michael Gillespie另外也揭露一个不明骇客组织，正在借由开采ProxyLogon漏洞植入勒索软件DearCry。