O malware criptominerante Lemon_Duck foi atualizado para comprometer máquinas Linux por meio de ataques de força bruta SSH, para explorar sistemas Windows vulneráveis a SMBGhost e para infectar servidores que executam instâncias de Redis e Hadoop.
Lemon_Duck (identificado no ano passado pela Trend Micro e examinado posteriormente pela SentinelOne ) é conhecido por ter como alvo redes corporativas, obtendo acesso sobre o serviço MS SQL por meio de força bruta ou o protocolo SMB usando EternalBlue de acordo com Ophir Harpaz da Guardicore.
Procurando por Linux e aplicativos em nuvem: Para encontrar dispositivos Linux que se podem infectar como parte de ataques de força bruta SSH, Lemon_Duck usa um módulo de varredura de porta que procura por sistemas Linux conectados à Internet escutando na porta TCP 22 usada para login remoto SSH. Para se certificar de que também sobreviverá entre as reinicializações do sistema, o malware tentará ganhar persistência adicionando um cron job, em seguida, Lemon_Duck procura mais dispositivos Linux para descartar payloads coletando credenciais de autenticação SSH do arquivo /.ssh/known_hosts.
Fonte: Bleepin