레몬캣 악성코드

LemonCat은 이미 탐지된 LemonDuck 악성코드와 관련된 새로운 위협 작업입니다. LemonDuck 위협은 2019년 5월에 처음 탐지되었으며 그 이후로 활발하게 사용되었습니다. 초기 초점은 감염된 시스템에서 암호화 채굴 기능을 구축하는 것이었습니다. 이 공격은 주류 인구 사이에 암호 화폐 영역의 출현과 함께 인기를 얻었습니다. 마이크로 소프트의 365 수비수 위협 인텔리전스 팀이 발표 한 보고서에 따르면, 제공하는 다른 작업이 LemonDuck 동시에 LemonCat으로 활성화됩니다. 그러나 두 작업을 분리하는 것을 정당화하기에 충분한 차이가 있습니다.

레몬캣의 특징

새로운 LemonDuck 버전은 자격 증명 도용 루틴을 포함하는 위협적인 기능을 확장했으며 다른 개선 사항도 크게 개선했지만 LemonCat은 더 나아가 감염된 시스템에 더 큰 잠재적 손상을 야기합니다. 위협을 전달하는 데 사용되는 초기 감염 벡터에는 무차별 대입 RDP 공격과 에지 취약점 악용이 포함됩니다.

일단 시스템에 대한 액세스 권한을 얻으면 LemonCat 운영자는 LemonDuck 위협을 배포하지만 공격의 초기 단계에서 선택된 대상에 백도어 트로이 목마 페이로드를 떨어뜨립니다. 그런 다음 멀웨어 위협은 이미 존재할 수 있는 경쟁 페이로드에 대해 시스템을 스캔한 다음 비활성화합니다. 또한 특정 맬웨어 방지 보안 제품을 비활성화할 수 있습니다. 기본 Windows 섀도 볼륨 복사 서비스에서 생성된 백업은 시스템 복구와 함께 삭제됩니다. 여기에서 LemonCat 피해자는 Ramnit 와 같은 추가 맬웨어 페이로드에 노출될 수도 있습니다. 사이버 범죄자는 특정 목표에 따라 특정 작업을 수행하도록 위협을 배포할 수 있습니다. LemonCat은 다른 위협 중에서 Ramnit 맬웨어를 삭제하는 것으로 관찰되었습니다.

LemonCat은 감염된 조직 내에서 측면으로 이동하거나 피싱 이메일 캠페인을 통해 새로운 희생자를 찾아 더 확산될 수 있습니다.

피해자의 지리적 위치

LemonDuck을 사용한 초기 공격은 대부분 중국에 기반을 둔 기업을 대상으로 했습니다. 그러나 그 이후로 위협과 관련된 작업의 범위가 크게 확장되었습니다. 보고서에서 분석한 LemonDuck 및 LemonCat 인프라는 모두 전 세계에 적용됩니다. 피해자는 미국, 러시아, 중국, 독일, 영국, 인도, 한국, 캐나다, 프랑스 및 베트남에서 감지되었습니다. 맬웨어가 Windows 및 Linux 장치를 모두 감염시킬 수 있다는 사실은 훨씬 더 많은 잠재적 피해자 풀에 영향을 미치는 데 도움이 됩니다.