Redazione RHC : 31 Luglio 2021 15:34
LemonDuck, è un malware noto per l’installazione di crypto-miner in ambienti aziendali. Questo è uno tra i validi motivi per cui vale la pena rimuoverlo immediatamente dalla rete e ora vi spieghiamo il perché si tratta di uno strumento altamente innovativo e pericoloso.
La cyber-gang che produce il malware, secondo Microsoft, ha un arsenale ben nutrito di strumenti di hacking, ed exploit mirati a una sola cosa: mantenere l’accesso esclusivo a una rete compromessa il più a lungo possibile.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Questo serve per minare criptovalute, “possedere” le reti compromesse, disabilitando gli antivirus, rimuovendo i malware di altri gruppi e persino riparare automaticamente le vulnerabilità: uno sforzo così competitivo per impedire ad altri aggressori, di fare incetta del loro stesso ‘territorio”.
“Ciò consente di limitare la visibilità dell’attacco agli analisti all’interno di un’organizzazione che potrebbero dare la priorità a dispositivi senza patch, o al contrario, ignorare i dispositivi che non hanno un volume elevato di falle o malware al loro interno”
ha spiegato Microsoft in un’analisi di follow-up su LemonDuck.
I cosiddetti exploit critici di Microsoft Exchange Server ProxyLogon di marzo e aprile sono stati trattati in questo modo dagli aggressori di LemonDuck.
Hanno usato i bug per installare web shell sui server Exchange per l’accesso remoto a sistemi senza patch e installare il malware aggiuntivo.
In alcuni casi, gli aggressori di LemonDuck hanno utilizzato copie dello strumento di mitigazione locale di Microsoft Exchange (rilasciato da Microsoft il 15 marzo) per correggere il bug che avevano utilizzato per ottenere l’accesso, secondo Microsoft.
“Lo hanno fatto mantenendo il pieno accesso ai dispositivi compromessi e limitando altri attori dall’abusare delle stesse vulnerabilità di Exchange”
Hanno aggiunto.
Usavano anche malware senza file che veniva eseguito in-memory e attraverso process injection, rendendo più difficile la rimozione dall’ambiente di produzione.
La descrizione di Microsoft delle tecniche e degli strumenti di LemonDuck suggerisce che il gruppo si è impegnato molto per ottenere un punto d’appoggio, inclusi exploit, attacchi alle password ed exploit contro SSH, MSSQL, SMB, Exchange, RDP , REDIS e Hadoop YARN per sistemi Linux e Windows.
Per rendere più resiliente la persistenza, ospitano script su più siti (rendendone difficile la rimozione) e, come backup, utilizzano anche WMI Event Consumers o un arsenale di strumenti che includono l’accesso RDP, shell Web Exchange, Screen Connect, e strumenti di accesso remoto (RAT).
LemonDuck tenta di disabilitare automaticamente il monitoraggio in tempo reale di Microsoft Defender per endpoint basato su cloud aggiungendo l’intera unità C:\ all’elenco di esclusione di Microsoft Defender. La “protezione contro le manomissioni” di Windows 10 dovrebbe impedire queste azioni .
RedazioneLunedì 20 ottobre, Channel 4 ha trasmesso un documentario completo condotto da un presentatore televisivo creativo integralmente dall’intelligenza artificiale. “Non sono reale. Per la prima volta...
L’ecosistema del cybercrimine russo è entrato in una fase di profonda mutazione, innescata da una combinazione di fattori: una pressione internazionale senza precedenti da parte delle forze dell’...
I ricercatori della sicurezza hanno scoperto delle vulnerabilità in un sito web della FIA che conteneva informazioni personali sensibili e documenti relativi ai piloti, tra cui il campione del mondo ...
Il 21 ottobre 2025, un gruppo internazionale di ricercatori provenienti da 29 istituzioni di prestigio – tra cui Stanford University, MIT e Università della California, Berkeley – ha completato u...
Nella giornata di oggi, migliaia di utenti Fastweb in tutta Italia hanno segnalato problemi di connessione alla rete fissa, con interruzioni improvvise del servizio Internet e difficoltà a navigare o...
