El grupo de inteligencia de Cisco Talos ha descubierto un ataque que podría estar aprovechándose de las debilidades de Windows Exchange Server desde el pasado mes de abril. Lemon Duck, que es un botnet que ya había sido descubierto en el mes de marzo aprovechándose de servidores vulnerables y utilizando estos sistemas para minar criptomonedas (técnica conocida también como cryptojacking).
Si nos centramos en este último ataque que tiene como objetivo las vulnerabilidades de Exchange Server de Windows, Cisco Talos explica que en sus descubrimientos encontró que Lemon Duck se aprovechaba de las vulnerabilidades de día cero (también conocido por su denominación en inglés: exploit of zero-day) de Microsoft Exchange Server y que eso supone un desastre de seguridad para miles de organizaciones.
Cuatro fallos críticos, denominados ProxyLogon, afectan a Microsoft Exchange Server 2013, 2016 y 2010. Los parches, las herramientas de detección de vulnerabilidades y las instrucciones de mitigación se pusieron a disposición en marzo, pero aún se estima que hasta 60.000 organizaciones pueden haber sido comprometidas.
Minería de criptomonedas a través de los fallos
Cisco Talos ha descubierto que Lemon Duck ha podido explotar fallos descubiertos en marzo, incluso en el mes de abril. Según las informaciones, los operadores de Lemon Duck están incorporando nuevas herramientas para "maximizar la eficacia de sus campañas" apuntando a las vulnerabilidades de alta gravedad en Microsoft Exchange Server y los datos de telemetría que siguen las consultas DNS a los dominios de Lemon Duck indican que la actividad de la campaña se disparó en abril.
La mayoría de las consultas procedían de Estados Unidos, seguidas de Europa y el sudeste asiático. Los operadores de Lemon Duck utilizan herramientas automatizadas para escanear, detectar y explotar los servidores antes de que se lleven a cabo cargas útiles como DNS Cobalt Strike y web shells, que conducen a la ejecución de software de minería de criptomonedas y malware adicional.
Según ha recogido ZDnet, el malware y los scripts PowerShell asociados también intentarán eliminar los productos antivirus ofrecidos por proveedores como ESET y Kaspersky y detendrán cualquier servicio -incluyendo Windows Update y Windows Defender- que pueda dificultar un intento de infección.
En estas campañas recientes, el programa de línea de comandos CertUtil se utiliza para descargar dos nuevos scripts de PowerShell que se encargan de la eliminación de productos AV, la creación de rutinas de persistencia y la descarga de una variante del minero de criptomonedas XMRig.
Aprovechando los problemas que Exchange Server reportó en marzo
Después de que se hicieran públicas varias vulnerabilidades de día cero de Microsoft Exchange Server el pasado 2 de marzo, Cisco Talos y otros investigadores de seguridad comenzaron a observar a varios actores de amenazas, incluido Lemon Duck, aprovechando estas vulnerabilidades para su explotación inicial.
Según las informaciones iniciales, un grupo de hackers de China, Hafnium, estaba atacando servidores en diferentes países del mundo a través de este software de la marca de Redmond. Esta campaña afectaba a Exchange Server entre sus versiones 2013 a 2019.
Más adelante, a finales de marzo, Microsoft dijo que la red de bots Lemon Duck había sido observada explotando servidores vulnerables y utilizando los sistemas para minar criptomonedas.
Una solución desde Redmond que parece haber sido insuficiente
Para hacer frente a este ataque a su Exchange Server, Microsoft lanzó a mediados de marzo una herramienta de mitigación local para Microsoft Exchange Server de un solo click, lo que se traduce a que las empresas que usen los servicios de Exchange pueden instalar las actualizaciones lanzadas por la empresa “en un solo click”.
De este modo, los administradores de TI en entornos empresariales pueden usar los nuevos parches de seguridad de la firma de Redmond con una instalación sencilla a todos los equipos de la entidad. No se presentó como una solución final, sino una forma de mitigar el posible impacto de este ataque mientras se aplica la actualización con los parches.