僵尸网络LemonDuck能力更强，利用多项旧漏洞攻击Windows、Linux装置

微软上周解析名为LemonDuck的僵尸网络程式的最新演化情形，利用Exchange Server等 ProxyLogon及其他旧漏洞，攻击Windows／Linux服务器及IoT装置。

LemonDuck并非新冒出的威胁。于今年三月微软揭露Exchange Server Proxylogon漏洞后，卡巴斯基也发现有骇客利用LemonDuck对用户电脑发动攻击。事实上，它首见于2019年5月，原本是采矿程式，也仅限感染中国，但随后几年持续演进，不论攻击的平台、感染区域、传染管道都愈来愈进阶。

早年LemonDuck主要攻击中国地区，但现在已扩散多国，包括美、英、俄、德、法、韩、加拿大及越南等地，锁定制造业及IoT业。

微软指出，它是今天少数被纪录到能同时感染Windows和Linux的僵尸网络程式，在网络上扫描防护较弱的SMB、Exchange、SQL、Hadoop、REDIS、RDP服务器或其他边缘装置寻找潜在受害目标。它能利用网钓邮件、Eternal Blue SMB开采程式、USB装置、暴力破解等多种方式进入受害系统。它还能利用最新时事扩大攻击对象。去年利用COVID-19为例发动钓鱼信件，今年则利用Exchange Server新发现的漏洞，即ProxyLogon骇入未修补的电脑。

值得一提的是，LemonDuck并非只用新漏洞，还使用已知的旧漏洞，微软指出，这是因为厂商和用户往往把重点放在修补新漏洞，而忽略旧漏洞。此外，LemonDuck还会从受害装置上移除其他攻击者，开采完一个漏洞后，还会修补漏洞防止其他新感染。

LemonDuck使用的漏洞包括：CVE-2017-0144 （EternalBlue）、CVE-2017-8464 （LNK RCE）、CVE-2019-0708 （BlueKeep）、CVE-2020-0796 （SMBGhost）、CVE-2021-26855 （ProxyLogon）、CVE-2021-26857（ProxyLogon）、CVE-2021-26858 （ProxyLogon）和 CVE-2021-27065（ProxyLogon）。

在进入受害者装置后的功能上，LemonDuck行为更复杂。除了原有的僵尸网络程式及挖矿外，LemonDuck现在也能窃取登入账密、移除安全控制、利用传递杂凑（pass-the-hash）手法在企业网络内部横向移动，并在用户电脑上植入人为操作的工具。2021年LemonDuck使用的外部C&C （C2）基础架构也更多元，这使它在受害者电脑得以不断更新攻击武器。