LemonCat skadlig kod

LemonCat är en ny hotande operation som involverar den redan upptäckta LemonDuck-skadlig programvaran. LemonDuck-hotet upptäcktes först i maj 2019 och har använts aktivt sedan dess. Det inledande fokuset var att etablera kryptogruvskapacitet på de infekterade systemen. Denna attack har ökat i popularitet tillsammans med tillkomsten av krypto-valutasfären bland den vanliga befolkningen. Enligt en rapport som släpptes av Microsofts 365 Defender Threat Intelligence Team finns det en annan operation som levererar LemonDuck som är aktiv med LemonCat samtidigt. Det finns dock tillräckliga skillnader för att motivera att de två operationerna separeras.

LemonCats egenskaper

Medan de nyare LemonDuck-versionerna har utökat hotfunktioner som inkluderar referenser som stjäl rutiner, bland annat förbättringar avsevärt, går LemonCat ännu längre och orsakar ännu större potentiell skada på de infekterade systemen. De initiala infektionsvektorerna som används för att leverera hotet inkluderar brute-force RDP-attacker och utnyttjande av kantsårbarheter.

När de väl har fått tillgång till systemet distribuerar LemonCat-operatörerna LemonDuck-hotet, men de släpper också bakdörr Trojan-nyttolaster på utvalda mål i detta tidiga skede i attacken. Skadlig hot fortsätter sedan att skanna systemet efter konkurrerande nyttolast som redan finns och sedan inaktivera dem. Det kan också inaktivera vissa säkerhetsprodukter mot skadlig kod. Säkerhetskopiorna som skapats av Windows Shadow Volume Copy-tjänsten som standard raderas tillsammans med systemåterställning. Här kan LemonCat-offer också utsättas för ytterligare nyttolast för skadlig programvara som Ramnit. Cyberbrottslingar kan distribuera hot som har till uppgift att utföra specifika åtgärder, beroende på deras specifika mål. LemonCat har observerats tappa Ramnit-skadlig kod bland andra hot.

LemonCat kan flytta inom den komprometterade organisationen i sidled eller leta efter nya offer via nätfiskekampanjer för att sprida sig ytterligare.

Offerens geolokalisering

De tidiga attackerna med LemonDuck riktade sig mest till Kina-baserade enheter. Men sedan dess har omfattningen av operationerna med hotet expanderat kraftigt. Både LemonDuck- och LemonCat-infrastrukturen som analyseras i rapporten har en global räckvidd. Offren har upptäckts i USA, Ryssland, Kina, Tyskland, Storbritannien, Indien, Korea, Kanada, Frankrike och Vietnam. Det faktum att skadlig kod kan infektera både Windows- och Linux-enheter hjälper också den att påverka en mycket större pool av potentiella offer.