LemonCat Malware

LemonCat, önceden tespit edilmiş LemonDuck kötü amaçlı yazılımını içeren yeni bir tehdit edici operasyondur. LemonDuck tehdidi ilk olarak Mayıs 2019'da tespit edildi ve o zamandan beri aktif olarak kullanılıyor. İlk odak, virüslü sistemlerde kripto madenciliği yetenekleri oluşturmaktı. Bu saldırı, ana akım nüfus arasında kripto para birimi alanının ortaya çıkmasıyla birlikte popülerlik kazandı. Microsoft'un 365 Defender Threat Intelligence Team tarafından yayınlanan bir rapora göre, LemonDuck'ı sağlayan ve LemonCat ile aynı anda aktif olan başka bir operasyon daha var. Ancak, iki işlemi ayırmayı haklı çıkarmak için yeterli fark vardır.

LemonCat'in Özellikleri

Daha yeni LemonDuck sürümleri, diğer iyileştirmelerin yanı sıra, kimlik bilgilerini çalma rutinlerini içeren tehdit edici işlevleri genişletirken, LemonCat daha da ileri giderek, virüslü sistemlerde daha büyük potansiyel hasara neden olur. Tehdidi iletmek için kullanılan ilk enfeksiyon vektörleri, kaba kuvvet RDP saldırılarını ve uç güvenlik açıklarından yararlanmayı içerir.

LemonCat operatörleri sisteme erişim sağladıktan sonra LemonDuck tehdidini devreye sokar, ancak saldırının bu erken aşamasında belirli hedeflere arka kapı Truva atı yüklerini de bırakırlar. Kötü amaçlı yazılım tehdidi daha sonra sistemi halihazırda mevcut olabilecek rakip yükler için taramaya ve ardından bunları devre dışı bırakmaya devam eder. Ayrıca belirli kötü amaçlı yazılımdan koruma güvenlik ürünlerini devre dışı bırakabilir. Varsayılan Windows Gölge Birim Kopyalama hizmeti tarafından oluşturulan yedekler, sistem kurtarma ile birlikte silinecektir. Burada LemonCat kurbanları, Ramnit gibi ek kötü amaçlı yazılım yüklerine de maruz kalabilir. Siber suçlular, belirli amaçlarına bağlı olarak belirli eylemleri gerçekleştirme görevi verilen tehditleri dağıtabilir. LemonCat'in diğer tehditlerin yanı sıra Ramnit kötü amaçlı yazılımını da düşürdüğü gözlemlendi.

LemonCat, güvenliği ihlal edilmiş kuruluş içinde yatay olarak hareket edebilir veya daha fazla yayılmak için kimlik avı e-posta kampanyaları yoluyla yeni kurbanlar arayabilir.

Kurbanların Coğrafi Konumu

LemonDuck ile yapılan ilk saldırılar çoğunlukla Çin merkezli varlıkları hedef aldı. Ancak o zamandan beri, tehdidi içeren operasyonların kapsamı büyük ölçüde genişledi. Raporda analiz edilen LemonDuck ve LemonCat altyapılarının her ikisi de küresel bir erişime sahiptir. ABD, Rusya, Çin, Almanya, Birleşik Krallık, Hindistan, Kore, Kanada, Fransa ve Vietnam'da kurbanlar tespit edildi. Kötü amaçlı yazılımın hem Windows hem de Linux cihazlarına bulaşabilmesi, çok daha büyük bir potansiyel kurban havuzunu etkilemesine de yardımcı olur.