Home Kênh học tậpHệ thống mạng Cách LemonDuck Malware nhắm mục tiêu đến các doanh nghiệp và cách duy trì sự bảo vệ
LemonDuck Malware

Cách LemonDuck Malware nhắm mục tiêu đến các doanh nghiệp và cách duy trì sự bảo vệ

by admin
87 views

Cả LemonDuck Malware và người anh em lâu đời hơn LemonCat đều gây ra mối đe dọa lớn cho các doanh nghiệp, nhưng có một cách để bảo vệ tài sản của bạn khỏi nó.

Bối cảnh về mối đe dọa an ninh mạng đã trở nên tồi tệ hơn rất nhiều kể từ khi bắt đầu đại dịch COVID-19. Các doanh nghiệp và doanh nhân có nhiều rủi ro hơn bao giờ hết; Trên thực tế, theo AV-Test Institute of IT Security, Đức, đã có 137,7 triệu mẫu phần mềm độc hại mới vào năm 2020. Tính đến tháng 8 năm 2021, 117 triệu mẫu phần mềm độc hại mới đã được tìm thấy.

Tuy nhiên, một phần mềm độc hại không quá mới đang gia tăng trở lại và nhắm mục tiêu vào các máy tính Windows. Nó được gọi là LemonDuck Malware và mặc dù nghe có vẻ dễ thương nhưng nó được trang bị để lấy cắp dữ liệu của bạn và gây thiệt hại cho hệ thống của bạn. Vì vậy, hãy cùng khám phá những mối nguy hiểm của nó và cách bạn hoặc doanh nghiệp của bạn có thể được bảo vệ.

Xem thêm: Cách thực hiện tấn công DDOS

LemonDuck Malware là gì?

LemonDuck là một phần mềm độc hại được cập nhật tích cực và mạnh mẽ, đã có trong radar an ninh mạng từ tháng 5 năm 2019. Lần đầu tiên nó nổi tiếng với các cuộc tấn công khai thác botnet và tiền điện tử, và kể từ đó, nó đã phát triển thành một phần mềm độc hại rất tinh vi.

LemonDuck là một mối đe dọa đa nền tảng nhắm vào cả thiết bị Windows và Linux của bạn. Nó sử dụng nhiều loại vectơ tấn công khác nhau để tự lây lan, chẳng hạn như email lừa đảo, exploits, thiết bị USB và brute force, …. Microsoft đã cảnh báo rằng, ngoài việc sử dụng tài nguyên cho các hoạt động khai thác và bot truyền thống của mình, LemonDuck hiện có thể lấy cắp thông tin đăng nhập của bạn và xóa các biện pháp kiểm soát bảo mật khỏi hệ thống của bạn.

Nó không quan tâm đến ranh giới domain và di chuyển theo chiều ngang qua các ứng dụng, điểm cuối, danh tính người dùng và domain dữ liệu của bạn. Nó có thể cài đặt các công cụ cho các cuộc tấn công do con người điều hành trong tương lai và việc bảo vệ hệ thống của bạn có thể là một thách thức nếu bạn không biết mình đang làm gì.

Tại sao bạn nên nghiêm túc với mối đe dọa LemonDuck Malware

Trong những ngày đầu thành lập, LemonDuck chủ yếu nhắm mục tiêu đến Trung Quốc và không đi xa hơn thế. Ngày nay, hoạt động của nó đã mở rộng sang một số quốc gia: Hoa Kỳ, Nga, Trung Quốc, Đức, Vương quốc Anh, Ấn Độ, Hàn Quốc, Canada, Pháp và Việt Nam đều bị ảnh hưởng nặng nề nhất trong thời gian gần đây.

LemonDuck lây nhiễm các hệ thống bằng cách ngụy trang thành các tệp vô hại mà chúng ta thấy hàng ngày. Thật dễ dàng để trở thành con mồi của nó, vì nó sử dụng tin tức hiện tại, sự kiện hoặc phát hành các khai thác mới để chạy các chiến dịch hiệu quả và thu hút các mục tiêu của nó.

Ví dụ: bài đăng của Microsoft thảo luận về phần mềm độc hại nói rằng họ đã phát hiện LemonDuck sử dụng các chiêu dụ theo chủ đề COVID-19 trong các cuộc tấn công email vào năm 2020. Vào năm 2021, nó đã khai thác các lỗ hổng Exchange Server mới được vá để truy cập vào các hệ thống đã lỗi thời.

Hơn nữa, LemonDuck không chỉ dừng lại ở việc khai thác các lỗ hổng mới hoặc phổ biến. Nếu tổ chức của bạn có các lỗ hổng cũ chưa được vá trong hệ thống của mình, LemonDuck có thể khai thác những lỗ hổng đó trong khi bạn tập trung vào việc vá một lỗ hổng mới thay vì sửa những gì đã biết.

Điều làm cho LemonDuck Malware trở nên nguy hiểm hơn là nó không chịu đựng bất kỳ kẻ tấn công nào khác xung quanh nó. Trên thực tế, LemonDuck Malware loại bỏ chúng khỏi thiết bị bị xâm nhập bằng cách loại bỏ phần mềm độc hại cạnh tranh. Nó cũng ngăn chặn bất kỳ sự lây nhiễm mới nào bằng cách vá các lỗ hổng tương tự mà nó đã sử dụng để truy cập.

Xem thêm: Cách đánh sập mạng WIFI

Để mắt đến LemonDuck’s Evil Twin, LemonCat

Nhóm Tình báo Đe dọa của Bộ bảo vệ Microsoft 365 cũng đã tiết lộ cơ sở hạ tầng LemonCat trong báo cáo của mình. LemonCat cũng sử dụng phần mềm độc hại LemonDuck, nhưng một tổ chức khác vận hành nó cho các mục tiêu riêng của họ.

Nó sử dụng hai tên miền có từ “cat” trong các tên miền của nó (sqlnetcat [.] Com, netcatkit [.] Com) và đã bị phát hiện khai thác lỗ hổng trong Microsoft Exchange Server khi nó xuất hiện vào tháng 1 năm 2021.

Bạn nên cảnh giác với LemonCat vì nó được sử dụng cho các hoạt động nguy hiểm làm ảnh hưởng đến dữ liệu và hệ thống của bạn. Ngày nay, tin tặc sử dụng LemonCat để cài đặt backdoor, thông tin đăng nhập và đánh cắp dữ liệu cũng như phân phối phần mềm độc hại cho các tải trọng như Trojan Windows “Ramnit”.

Nhưng chỉ vì LemonCat được sử dụng cho các vụ tấn công nguy hiểm hơn không có nghĩa là bạn nên coi trọng phần mềm độc hại LemonDuck Malware ít hơn. Trên thực tế, những phát hiện này đã làm sáng tỏ mối đe dọa kép này có thể nguy hiểm như thế nào đối với các thiết bị Windows. Những kẻ tấn công có thể sử dụng lại cùng một bộ công cụ, quyền truy cập và phương pháp trong các khoảng thời gian động để gây ra thiệt hại lớn hơn cho doanh nghiệp của bạn so với dự đoán trước đó.

Cách bạn có thể được bảo vệ với Microsoft 365 Defender

Hy vọng rằng bạn đã có một hệ thống có thể bảo vệ bạn khỏi các mối đe dọa an ninh mạng. Ví dụ: bạn có thể đã có phần mềm chống vi-rút hiệu quả và các công cụ bảo mật được cài đặt trên hệ thống của mình. Nếu không, bạn nên cân nhắc tải xuống Microsoft 365 Defender nếu bạn muốn được bảo vệ ở cấp độ doanh nghiệp.

Security

Microsoft 365 Defender là bộ bảo vệ doanh nghiệp thống nhất bao gồm các giải pháp Microsoft Defender cho Endpoint, Microsoft Defender cho Office 365, Microsoft Defender cho Identity và Microsoft Cloud App Security.

Microsoft 365 Defender có thể giúp bạn phát hiện các rủi ro bảo mật, điều tra các cuộc tấn công vào tổ chức của bạn và tự động ngăn chặn các hoạt động có hại. Giải pháp phát hiện và ứng phó mối đe dọa xuyên miền được tích hợp này cung cấp cho tổ chức của bạn khả năng phòng thủ phối hợp và tự động để chặn các mối đe dọa trước khi chúng trở thành các cuộc tấn công.

Các biện pháp bảo vệ hàng đầu trong ngành được hỗ trợ bởi AI của nó có thể giúp bạn vượt qua các mối đe dọa rộng lớn và tinh vi của LemonDuck. Một ví dụ điển hình là Microsoft 365 Defender dành cho Office 365, phát hiện các email độc hại được gửi bởi mạng botnet LemonDuck để phân phối các tải phần mềm độc hại gây thiệt hại.

Mặt khác, Microsoft Defender for Endpoint phát hiện và chặn việc cấy ghép LemonDuck Malware, tải trọng và hoạt động độc hại trên các thiết bị Linux và Windows.

Với Microsoft 365 Defender, bạn có các công cụ điều tra phong phú mà nhóm bảo mật của bạn có thể sử dụng để phát hiện ra hoạt động LemonDuck Malware. Nó phân tích và bình thường hóa các cảnh báo và các sự kiện được kết nối và kết hợp chúng thành các sự cố để cung cấp cho bạn cái nhìn đầy đủ và bối cảnh của một cuộc tấn công – tất cả trong một bảng điều khiển duy nhất.

Hơn nữa, nó thậm chí còn phơi bày những nỗ lực xâm nhập và giành được chỗ đứng trên mạng, vì vậy các nhóm hoạt động bảo mật có thể phản ứng và giải quyết các cuộc tấn công này một cách hiệu quả và tự tin.

Xem thêm: Làm sao để trở thành một hacker

Cách bạn có thể triển khai Microsoft 365 Defender cho doanh nghiệp của mình

Như được mô tả trong tài liệu Microsoft 365 Defender chính thức, dịch vụ tự động bật nếu khách hàng đủ điều kiện với các quyền cần thiết truy cập vào cổng Microsoft 365 Defender.

Bạn có thể sử dụng Microsoft 365 Defender mà không phải trả thêm phí nếu bạn có giấy phép cho sản phẩm bảo mật Microsoft 365 như Microsoft 365 E5 hoặc A5, Windows 10 Enterprise E5 hoặc A5 và Office 365 E5 hoặc A5.

Phải làm gì khác để giữ an toàn hơn với LemonDuck Malware

Bạn cũng có thể áp dụng một số biện pháp giảm nhẹ nhất định để tăng cường khả năng phòng thủ và giảm tác động của phần mềm độc hại LemonDuck Malware.

Thường xuyên quét USB và các thiết bị lưu trữ di động của bạn và chặn chúng trên các thiết bị nhạy cảm. Bạn cũng nên tắt tự động chạy và kích hoạt tính năng bảo vệ chống vi-rút theo thời gian thực.
Hãy cảnh giác với những email đáng ngờ. LemonDuck đã sử dụng các cuộc tấn công email với các chủ đề như “Sự thật của COVID-19”, “HALTH ADVISORY: CORONA VIRUS”, “Cái quái gì vậy”, “Đây là đơn đặt hàng của bạn?” và hơn thế nữa. Có ba loại tệp đính kèm được sử dụng cho các mồi này: .doc, .js hoặc .zip chứa a. tập tin. Dù là loại nào, tệp được đặt tên là “readme”. Đôi khi, bạn sẽ tìm thấy cả ba trong cùng một email.
Khuyến khích sử dụng các trình duyệt web hỗ trợ SmartScreen trong tổ chức của bạn. SmartScreen xác định và chặn các trang web độc hại, bao gồm các trang web lừa đảo, trang web lừa đảo và các trang web chứa phần mềm lợi dụng và lưu trữ phần mềm độc hại.
Có những khuyến nghị giảm thiểu quan trọng khác mà bạn có thể đọc trong Phần 2 của loạt bài blog của Microsoft. Tại đó, bạn cũng sẽ được khám phá phân tích kỹ thuật chuyên sâu về các hành động độc hại theo sau sự lây nhiễm LemonDuck Malware và nhận hướng dẫn để điều tra các cuộc tấn công LemonDuck.

Xem thêm: Hướng dẫn hack Facebook bằng code

Giữ tổ chức của bạn được bảo vệ

LemonDuck và LemonCat là những mối đe dọa mà bạn nên xem xét nghiêm túc. Phần mềm độc hại đa thành phần không ngừng phát triển như thế này có thể tạo ra những cách mới để truy cập và gây hại cho thiết bị Windows cũng như tài sản doanh nghiệp của bạn.

Tuy nhiên, bạn có thể được bảo vệ bằng cách luôn cảnh giác, cập nhật và đưa ra các lựa chọn thông minh. Chẳng hạn như triển khai một công cụ bảo mật mạnh mẽ như Microsoft 365 Defender để cho phép nhóm bảo mật của bạn phát hiện, phân tích và loại bỏ các mối đe dọa trước khi chúng có thể gây hại.

Xem thêm: Cách tạo Trojan trên Linux cực đơn giản

Related Posts

error: Content is protected !!