LemonCat Malware

LemonCat er en ny truende operation, der involverer den allerede opdagede LemonDuck-malware. LemonDuck-truslen blev først opdaget tilbage i maj 2019 og er blevet brugt aktivt siden da. Det oprindelige fokus var på at etablere kryptomining-kapaciteter på de inficerede systemer. Dette angreb er steget i popularitet sammen med fremkomsten af krypto-valutasfæren blandt den almindelige befolkning. Ifølge en rapport frigivet af Microsofts 365 Defender Threat Intelligence Team, er der en anden operation, der leverer LemonDuck, der er aktiv med LemonCat samtidigt. Der er dog nok forskelle til at retfærdiggøre adskillelse af de to operationer.

LemonCats egenskaber

Mens de nyere LemonDuck-versioner har udvidet truende funktionaliteter, der inkluderer stjælerrutiner for legitimationsoplysninger, blandt andre forbedringer markant, går LemonCat endnu længere og forårsager endnu større potentiel skade på de inficerede systemer. De oprindelige infektionsvektorer, der blev brugt til at levere truslen, inkluderer brutale kraft-RDP-angreb og udnyttelse af kantsårbarheder.

Når de først har fået adgang til systemet, implementerer LemonCat-operatørerne LemonDuck-truslen, men de dropper også bagdør Trojan-nyttelast på udvalgte mål på dette tidlige tidspunkt i angrebet. Malwaretruslen fortsætter derefter med at scanne systemet for konkurrerende nyttelast, der allerede er til stede, og derefter deaktivere dem. Det kan også deaktivere visse anti-malware sikkerhedsprodukter. Sikkerhedskopierne oprettet af standardtjenesten Windows Shadow Volume Copy vil blive slettet sammen med systemgendannelse. Her kan LemonCat-ofre også udsættes for yderligere malware-nyttelast som Ramnit. Cyberkriminelle kan implementere trusler, der har til opgave at udføre specifikke handlinger, afhængigt af deres særlige mål. LemonCat er blevet observeret at droppe Ramnit malware blandt andre trusler.

LemonCat kan bevæge sig inden for den kompromitterede organisation lateralt eller se efter nye ofre via phishing-e-mail-kampagner for at sprede sig yderligere.

Ofrenes geografiske placering

De tidlige angreb med LemonDuck målrettede hovedsageligt Kina-baserede enheder. Men siden da har omfanget af operationerne, der involverer truslen, udvidet sig meget. Både LemonDuck- og LemonCat-infrastrukturen analyseret i rapporten har en global rækkevidde. Ofre er blevet opdaget i USA, Rusland, Kina, Tyskland, Det Forenede Kongerige, Indien, Korea, Canada, Frankrig og Vietnam. Det faktum, at malware er i stand til at inficere både Windows- og Linux-enheder, hjælper det også med at påvirke en meget større pulje af potentielle ofre.