LemonCat-malware

LemonCat is een nieuwe bedreigende operatie waarbij de reeds gedetecteerde LemonDuck-malware betrokken is. De LemonDuck-dreiging werd voor het eerst gedetecteerd in mei 2019 en wordt sindsdien actief gebruikt. De initiële focus lag op het opzetten van crypto-mining-mogelijkheden op de geïnfecteerde systemen. Deze aanval is in populariteit gestegen samen met de komst van de crypto-valutasfeer onder de reguliere bevolking. Volgens een rapport uitgebracht door Microsoft's 365 Defender Threat Intelligence Team, is er een andere operatie die LemonDuck levert die gelijktijdig actief is met LemonCat. Er zijn echter genoeg verschillen om het scheiden van de twee operaties te rechtvaardigen.

Kenmerken van LemonCat

Terwijl de nieuwere LemonDuck-versies de bedreigende functionaliteiten hebben uitgebreid, waaronder routines voor het stelen van referenties, naast andere aanzienlijke verbeteringen, gaat LemonCat zelfs nog verder en veroorzaakt zelfs grotere potentiële schade aan de geïnfecteerde systemen. De initiële infectievectoren die worden gebruikt om de dreiging af te leveren, zijn onder meer brute-force RDP-aanvallen en exploitatie van edge-kwetsbaarheden.

Zodra ze toegang hebben tot het systeem, zetten de LemonCat-operators de LemonDuck-dreiging in, maar ze droppen ook backdoor Trojan-payloads op geselecteerde doelen in dit vroege stadium van de aanval. De malwarebedreiging gaat vervolgens verder met het scannen van het systeem op concurrerende payloads die al aanwezig kunnen zijn en schakelt deze vervolgens uit. Het kan ook bepaalde anti-malware beveiligingsproducten uitschakelen. De back-ups die door de standaard Windows Shadow Volume Copy-service zijn gemaakt, worden samen met het systeemherstel verwijderd. Hier kunnen LemonCat-slachtoffers ook worden onderworpen aan extra malware-payloads zoals Ramnit. Cybercriminelen kunnen dreigingen inzetten om specifieke acties uit te voeren, afhankelijk van hun specifieke doel. Er is waargenomen dat LemonCat naast andere bedreigingen ook Ramnit-malware laat vallen.

LemonCat kan zich lateraal binnen de gecompromitteerde organisatie verplaatsen of via phishing-e-mailcampagnes nieuwe slachtoffers zoeken om zich verder te verspreiden.

Geolocatie van slachtoffers

De vroege aanvallen met LemonDuck waren voornamelijk gericht op in China gevestigde entiteiten. Sindsdien is de reikwijdte van de operaties met de dreiging echter sterk uitgebreid. Zowel de LemonDuck- als de LemonCat-infrastructuur die in het rapport wordt geanalyseerd, heeft een wereldwijd bereik. Er zijn slachtoffers aangetroffen in de Verenigde Staten, Rusland, China, Duitsland, het Verenigd Koninkrijk, India, Korea, Canada, Frankrijk en Vietnam. Het feit dat de malware zowel Windows- als Linux-apparaten kan infecteren, helpt ook om een veel grotere groep potentiële slachtoffers te beïnvloeden.