Malware LemonCat

LemonCat è una nuova operazione minacciosa che coinvolge il malware LemonDuck già rilevato. La minaccia LemonDuck è stata rilevata per la prima volta a maggio 2019 e da allora è stata utilizzata attivamente. L'obiettivo iniziale era stabilire capacità di cripto-mining sui sistemi infetti. Questo attacco è cresciuto in popolarità insieme all'avvento della sfera delle criptovalute tra la popolazione mainstream. Secondo un rapporto pubblicato dal 365 Defender Threat Intelligence Team di Microsoft, c'è un'altra operazione che fornisce LemonDuck che è attiva con LemonCat contemporaneamente. Tuttavia, ci sono differenze sufficienti per giustificare la separazione delle due operazioni.

Le caratteristiche di LemonCat

Mentre le versioni più recenti di LemonDuck hanno ampliato le funzionalità minacciose che includono routine di furto di credenziali, tra gli altri miglioramenti in modo significativo, LemonCat va ancora oltre causando danni potenziali ancora maggiori ai sistemi infetti. I vettori di infezione iniziali utilizzati per fornire la minaccia includono attacchi RDP a forza bruta e sfruttamento delle vulnerabilità edge.

Una volta ottenuto l'accesso al sistema, gli operatori LemonCat implementano la minaccia LemonDuck ma rilasciano anche payload Trojan backdoor su obiettivi selezionati in questa fase iniziale dell'attacco. La minaccia malware procede quindi alla scansione del sistema alla ricerca di payload concorrenti che potrebbero già essere presenti e quindi disabilitandoli. Può anche disabilitare alcuni prodotti di sicurezza antimalware. I backup creati dal servizio Windows Shadow Volume Copy predefinito verranno eliminati insieme al ripristino del sistema. Qui, le vittime di LemonCat possono anche essere soggette a payload di malware aggiuntivi come Ramnit. I criminali informatici possono distribuire minacce incaricate di eseguire azioni specifiche, a seconda del loro obiettivo particolare. È stato osservato che LemonCat elimina il malware Ramnit tra le altre minacce.

LemonCat può spostarsi lateralmente all'interno dell'organizzazione compromessa o cercare nuove vittime tramite campagne e-mail di phishing per diffondersi ulteriormente.

Geolocalizzazione delle vittime

I primi attacchi con LemonDuck hanno preso di mira principalmente entità con sede in Cina. Tuttavia, da allora, la portata delle operazioni che coinvolgono la minaccia si è notevolmente ampliata. Entrambe le infrastrutture LemonDuck e LemonCat analizzate nel rapporto hanno una portata globale. Le vittime sono state rilevate negli Stati Uniti, Russia, Cina, Germania, Regno Unito, India, Corea, Canada, Francia e Vietnam. Il fatto che il malware sia in grado di infettare sia i dispositivi Windows che Linux aiuta anche a incidere su un pool molto più ampio di potenziali vittime.