یکسان بودن نام کاربری و رمز عبور ایجادشده در فرمانها با حسابهای کاربری ساختهشده در حملات مبتنی بر دستور ویندوزی certutil، به همراه عواملی دیگر موجب شده است که گردانندگان همه این حملات، یک فرد یا گروه تلقی شوند. مهاجمان در کمپین بدافزار Lemon Duck با استفاده از ProxyLogon برای استخراج ارز دیجیتال به اهداف خود نفوذ میکنند و برخی از سرورهای ایرانی را نیز هدف قرار دادهاند.
شرکت امنیتی Sophos اعلام کرده است که نسخه جدید بدافزار لمون داک، برای ماندگاری روی سیستمها، ماینر را بهعنوان سرویس ویندوزی نصب میکند و آلودگی را در سطح شبکه گسترش میدهد. مهاجمان سایبری همچنین با استفاده از تیم بدافزار، حساب کاربری با قابلیت دسترسی از راه دور، در سرورهای قربانی ایجاد و بهخوبی از سرورهای آسیبپذیر Exchange سوءاستفاده میکنند.
کارشناسان مرکز مدیریت راهبردی افتا میگویند: در صورت مجهز بودن محصول امنیتی به قابلیت حفاظت از دستکاری (Tamper Protection)، تکنیکهای مهاجمان لمون داک، بیثمر خواهند بود. مشروح اطلاعات فنی، نشانههای آلودگی سرورهای قربانی شده و لینک دسترسی شرکت امنیتی Sophos در پایگاه اینترنتی مرکز مدیریت راهبردی افتا قابل دریافت و مطالعه است.
