Вредоносное ПО LemonCat

LemonCat - это новая опасная операция, связанная с уже обнаруженным вредоносным ПО LemonDuck. Угроза LemonDuck была впервые обнаружена еще в мае 2019 года и с тех пор активно используется. Первоначально основное внимание уделялось созданию возможностей крипто-майнинга на зараженных системах. Популярность этой атаки возросла вместе с появлением криптовалютной сферы среди основного населения. Согласно отчету, опубликованному Microsoft 365 Defender Threat Intelligence Team, существует еще одна операция по доставке LemonDuck, которая одновременно активна с LemonCat. Однако существует достаточно различий, чтобы оправдать разделение двух операций.

Характеристики LemonCat

В то время как в более новых версиях LemonDuck расширены опасные функции, включая процедуры кражи учетных данных, среди других значительных улучшений, LemonCat идет еще дальше, нанося еще больший потенциальный ущерб зараженным системам. Первоначальные векторы заражения, используемые для доставки угрозы, включают атаки RDP методом грубой силы и использование периферийных уязвимостей.

Получив доступ к системе, операторы LemonCat развертывают угрозу LemonDuck, но на этой ранней стадии атаки они также сбрасывают полезные нагрузки бэкдора-троянца на выбранные цели. Затем вредоносная угроза переходит к сканированию системы на наличие конкурирующих полезных нагрузок, которые уже могут присутствовать, а затем их отключение. Он также может отключить некоторые продукты для защиты от вредоносных программ. Резервные копии, созданные службой теневого копирования томов Windows по умолчанию, будут удалены вместе с восстановлением системы. Здесь жертвы LemonCat также могут подвергаться дополнительным вредоносным программам, таким как Ramnit . Киберпреступники могут развертывать угрозы, которым поручено выполнять определенные действия, в зависимости от их конкретной цели. Было замечено, что LemonCat отбрасывает вредоносное ПО Ramnit среди других угроз.

LemonCat может перемещаться внутри скомпрометированной организации или искать новых жертв с помощью фишинговых почтовых кампаний для дальнейшего распространения.

Геолокация жертв

Первые атаки с помощью LemonDuck были нацелены в основном на китайские компании. Однако с тех пор объем операций, связанных с угрозой, значительно расширился. Обе инфраструктуры LemonDuck и LemonCat, проанализированные в отчете, имеют глобальный охват. Жертвы были обнаружены в США, России, Китае, Германии, Великобритании, Индии, Корее, Канаде, Франции и Вьетнаме. Тот факт, что вредоносная программа способна заражать устройства как с Windows, так и с Linux, также помогает ей повлиять на гораздо больший круг потенциальных жертв.