Para peneliti telah menjelajahi aktivitas terbaru dari grup peretasan Lemon Duck, termasuk pemanfaatan kerentanan Microsoft Exchange Server dan penggunaan umpan domain tingkat atas.
Eksploitasi aktif dari kerentanan Server Microsoft Exchange zero-day di alam liar adalah bencana keamanan bagi ribuan organisasi.
Pada akhir Maret, Microsoft mengatakan botnet Lemon Duck telah diamati mengeksploitasi server yang rentan dan menggunakan sistem untuk menambang cryptocurrency.
Sekarang, para peneliti dari Cisco Talos telah mendalami taktik para penyerang dunia maya saat ini.
Operator Lemon Duck menggabungkan alat baru untuk “memaksimalkan efektivitas kampanye mereka” dengan menargetkan kerentanan tingkat tinggi di Microsoft Exchange Server dan data telemetri mengikuti kueri DNS ke domain Lemon Duck menunjukkan bahwa aktivitas kampanye melonjak pada bulan April.
Mayoritas kueri datang dari AS, diikuti oleh Eropa dan Asia Tenggara. Lonjakan besar dalam kueri ke satu domain Lemon Duck juga tercatat di India.
Lemon Duck juga telah membuat umpan domain tingkat atas (TLD) untuk China, Jepang, dan Korea Selatan untuk mencoba dan mengaburkan infrastruktur pusat perintah dan kontrol (C2).
Tumpang tindih antara botnet Lemon Duck dan malware cryptocurrency Beapy / Pcastle juga telah diamati.
Selengkapnya: ZDNet
