Lemon_Duck è una botnet di crypto-mining che sta colpendo i server Docker al fine di effettuare il mining su sistemi Linux. Questo malware è stato scoperto nel 2019 da Trend Micro, e all'epoca della scoperta sfruttava attacchi brute force per accedere al servizio Microsoft SQL, sfruttando l'exploit noto come EternalBlue.
In seguito, a Lemon_Duck è stato aggiunto un modulo per la scansione delle porte, per individuare sistemi Linux connessi a Internet tramite listening della porta TCP 22 utilizzata per l'accesso remoto SSH, con i conseguenti attacchi brute force SSH. Un ulteriore modulo, poi è stato implementato per sfruttare un'altra vulnerabilità RCE di Windows SMB versione 3 (server/client) nota come CVE-2020-0796.
Di recente, Crowdstrikes ha rilevato una campagna in cui la botnet Lemond_Duck è stata sfruttata per l'accesso alle API di Docker, per poi eseguire un container che recupera uno script Bash camuffato da file di immagine PNG. Il file Bash termina i processi in base ai nomi dei pool di mining noti e quelli riconducibili a gruppi di mining concorrenti, inoltre termina i daemon noti, inclusi crond, sshd e syslog. Lo script prevede anche l'eliminazione dei percorsi che puntano ai file IOC e cessa qualsiasi connessione di rete riconosciuta.
L'attacco è a catena, dunque dall'esecuzione del file Bash, si passa al download e all'esecuzione del miner XMRig, con l'uso di un pool proxy pensato appositamente per il mining di criptovalute, allo scopo di nascondere l'indirizzo del wallet impiegato dai cybercriminali. Si tratta, dunque, di un sistema stratificato che esclude qualsiasi processo di mining concorrente per dirottare tutte le risorse verso il tool inoculato dalla botnet. Grazie al recupero delle chiavi SSH, inoltre, la campagna non è stata individuata altrettanto velocemente quanto quelle di altri gruppi concorrenti.