LemonDuck 惡意程式是近來資安界中新興的威脅。原本的 LemonDuck 只是一種加密貨幣殭屍網絡，現已演變為一種十分危險的惡意程式，不僅能夠竊取憑據、還能通過電子郵件進行自我傳播等。那究竟為什麼 LemonDuck 如此危險，而面對 LemonDuck，我們應該注意什麼，來避免被這支惡意程式感染呢？

LemonDuck 究竟是什麼？
LemonDuck 惡意程式是可以針對系統並造成危險變更的可怕代碼。 LemonDuck 可以竊取憑據、移除安全控制、通過電子郵件傳播、並最終為人工攻擊的活動投放更多工具。根據微軟的官方部落格，LemonDuck 這支惡意程式是少數被記錄在案的疆尸網絡惡意程式（Bot Malware），不僅能針對 Windows 系統，也能針對Linux 的設備。而且有趣的是，它還能夠從受感染的設備中刪除其他惡意程式，排除與其他惡意程式的競爭。而 LemonDuck 的傳播範圍也非常廣泛，包括美國、俄羅斯、中國、德國、英國、印度、韓國、加拿大、法國和越南。

LemonDuck 是透過什麼方式傳播的？
LemonDuck 之所以如此危險，主要它能夠以多種方式傳播。 除了各種漏洞利用和暴力破解攻擊外，它還可以透過網絡釣魚電子郵件、閃存驅動器等 USB 設備進行自我複制。而快速利用新聞事件或新漏洞的發布來進行傳播也是其有名的特點之一。 去年，LemonDuck 利用 COVID-19 的標題來引誘人們點擊受感染的郵件。 此外，LemonDuck 也會利用舊的漏洞來駭入系統，如 CVE-2017-0144 （EternalBlue）、CVE-2017-8464 （LNK RCE）、CVE-2019-0708 （BlueKeep）、CVE-2020-0796 （SMBGhost）、CVE-2021-26855 （ProxyLogon）、CVE-2021-26857（ProxyLogon）、CVE-2021-26858 （ProxyLogon）和 CVE-2021-27065（ProxyLogon）。

如何提防此類惡意程式？
要保護自己免受 LemonDuck 的入侵，除了一般像是 Microsoft 365 Defender的工具，使用 USB 掃描驅動器也不失為一個好方法。另外，在面對可疑的郵件標題，如「新冠肺炎 COVID-19 的真相」、「緊急！需要被修復的文件」等郵件，也應保持小心的態度，或是也可以針對自家子公司內部員工進行社交工程測試，提高企業內部的資安意識。此外，企業定期為自家的系統進行弱點掃描與滲透測試也是十分重要的，針對標的進行掃描，可以確保組織內是否含有高風險的漏洞，定期針對漏洞進行修補，可以減少組織被駭客入侵的機會。

參考資料：
https://indianexpress.com/article/technology/tech-news-technology/lemonduck-malware-explained-what-is-it-and-what-makes-it-dangerous-7423423/
https://www.ithome.com.tw/news/145866