LemonDuck greift Linux-Systeme an

LemonDuck ist eine Cryptomining-Malware, die in eine Botnet-Struktur eingebettet ist. Im vergangenen Jahr wurde das Botnet genutzt, um Microsoft Exchange Server anzugreifen. Das Research-Team des Security-Anbieters CrowdStrike hat nun herausgefunden, dass die Drahtzieher aktuell Docker-APIs verwenden, um bösartige Container auf Linux-Systemen auszuführen.

Docker dient dazu, Container-Workloads zu erstellen und zu verwalten. Da die Plattform in erster Linie in der Cloud ausgeführt wird, kann die Docker-API durch eine falsch konfigurierte Instanz im Internet verfügbar sein. Cyberkriminelle können dies ausnutzen, um einen Cryptominer in einem illegalen Container einzusetzen.

Wie funktioniert die LemonDuck-Malware?

Nachdem LemonDuck seinen bösartigen Container implementiert hat, lädt die Malware eine Bilddatei namens core.png herunter. Dahinter verbirgt sich, so die Sicherheitsforscher in ihrem Blogbeitrag, ein getarntes Bash-Skript. Die Datei dient als Dreh- und Angelpunkt für die Einrichtung eines Linux-Cronjobs, mit dem Skripte oder andere Befehle automatisch ausgeführt werden können.

Der Cronjob wird dann zum Herunterladen einer getarnten Datei namens a.asp verwendet, bei der es sich in Wirklichkeit um eine Bash-Datei handelt. Die Datei ermöglicht es den Angreifern, den Überwachungsdienst der Alibaba Cloud zu umgehen. A.asp lädt auch XMRig herunter und führt es als xr-Datei aus, die die Kryptowährung schürft. XMRig verwendet dazu einen Cryptomining-Proxy-Pool. "Proxy-Pools helfen dabei, die tatsächliche Krypto-Wallet-Adresse zu verbergen, in der die Beiträge durch die aktuelle Mining-Aktivität geleistet werden", erklären die CrowdStrike-Forscher.

Die Angriffstechnik von LemonDuck ist besonders raffiniert. Anstatt massenhaft die öffentlichen IP-Bereiche nach ausnutzbaren Angriffsflächen zu scannen, versuchen die Hacker sich seitlich zu bewegen. Dazu suchen sie nach SSH-Schlüsseln. "Dies ist einer der Gründe, warum diese Kampagne nicht so offensichtlich war wie andere Mining-Kampagnen, die von anderen Gruppen durchgeführt wurden", betonen die Sicherheitsexperten. Sobald die Angreifer die SSH-Schlüssel gefunden haben, verwenden sie diese, um sich bei den Servern anzumelden und ihre bösartigen Skripte auszuführen.

Angreifer passen sich an die Cloud an

Ian Ahl, Vice President of Threat Research and Detection Engineering bei Permiso, weist darauf hin, dass die Cloud-Umgebungen zwar immer ausgereifter würden, aber sich die Angreifer daran anpassen würden. "LemonDuck ist außerdem besonders besitzergreifend. Der Miner deaktiviert konkurrierende Malware, wenn sie gefunden wird", ergänzt Ahl. "Abgesehen von der Reife und dem Verständnis von Cloud-Umgebungen handelt es sich um einen ansonsten unauffälligen Kryptowährungs-Miner", fügt er hinzu.

Nach Auffassung von CrowdStrike fördert der Kryptowährungsboom in Kombination mit der Cloud- und Container-Einführung in Unternehmen finanziell motivierte Angriffe. "Da Cloud- und Container-Ökosysteme in hohem Maße Linux verwenden, haben sie die Aufmerksamkeit der Betreiber von Botnets wie LemonDuck auf sich gezogen". Die Security-Experten gehen davon aus, dass solche Kampagnen von großen Botnet-Betreibern zunehmen werden.

Dieser Beitrag basiert zum Teil auf einem Artikel unserer US-Schwesterpublikation CSO Online.