LemonCat Malware

LemonCat to nowa groźna operacja obejmująca już wykryte złośliwe oprogramowanie LemonDuck. Zagrożenie LemonDuck zostało po raz pierwszy wykryte w maju 2019 r. i od tego czasu jest aktywnie wykorzystywane. Początkowo skupiono się na ustanowieniu możliwości kopania kryptowalut w zainfekowanych systemach. Ten atak zyskał na popularności wraz z pojawieniem się sfery kryptowalut wśród populacji głównego nurtu. Według raportu opublikowanego przez zespół Microsoft 365 Defender Threat Intelligence Team, istnieje inna operacja dostarczająca LemonDuck, która jest aktywna jednocześnie z LemonCat. Istnieje jednak wystarczająco dużo różnic, aby uzasadnić rozdzielenie tych dwóch operacji.

Charakterystyka LemonCat

Podczas gdy nowsze wersje LemonDuck rozszerzyły groźne funkcje, które obejmują między innymi procedury kradzieży poświadczeń, wśród innych ulepszeń, LemonCat idzie jeszcze dalej, powodując jeszcze większe potencjalne uszkodzenia zainfekowanych systemów. Początkowe wektory infekcji wykorzystywane do dostarczania zagrożenia obejmują ataki typu brute-force RDP i wykorzystywanie luk w zabezpieczeniach brzegowych.

Po uzyskaniu dostępu do systemu operatorzy LemonCat wdrażają zagrożenie LemonDuck, ale na tym wczesnym etapie ataku umieszczają również ładunki trojanów typu backdoor na wybranych celach. Zagrożenie złośliwym oprogramowaniem następnie przechodzi do skanowania systemu w poszukiwaniu konkurencyjnych ładunków, które mogą już być obecne, a następnie wyłącza je. Może również wyłączyć niektóre produkty zabezpieczające przed złośliwym oprogramowaniem. Kopie zapasowe utworzone przez domyślną usługę kopiowania woluminów w tle systemu Windows zostaną usunięte wraz z odzyskiwaniem systemu. Tutaj ofiary LemonCat mogą być również narażone na dodatkowe szkodliwe oprogramowanie, takie jak Ramnit. Cyberprzestępcy mogą wdrażać zagrożenia, których zadaniem jest wykonanie określonych działań, w zależności od ich konkretnego celu. Zaobserwowano, że LemonCat upuszcza złośliwe oprogramowanie Ramnit wśród innych zagrożeń.

LemonCat może poruszać się w obrębie zaatakowanej organizacji z boku lub szukać nowych ofiar za pośrednictwem kampanii phishingowych w celu dalszego rozprzestrzeniania się.

Geolokalizacja ofiar

Wczesne ataki za pomocą LemonDuck były skierowane głównie na podmioty z Chin. Jednak od tego czasu zakres działań związanych z zagrożeniem znacznie się rozszerzył. Analizowane w raporcie infrastruktury LemonDuck i LemonCat mają zasięg globalny. Ofiary zostały wykryte w Stanach Zjednoczonych, Rosji, Chinach, Niemczech, Wielkiej Brytanii, Indiach, Korei, Kanadzie, Francji i Wietnamie. Fakt, że złośliwe oprogramowanie jest w stanie infekować zarówno urządzenia z systemem Windows, jak i Linux, pomaga mu również wpłynąć na znacznie większą pulę potencjalnych ofiar.