LemonCat 恶意软件

LemonCat 是一种新的威胁操作，涉及已检测到的 LemonDuck 恶意软件。 LemonDuck 威胁于 2019 年 5 月首次被检测到，此后一直被积极使用。最初的重点是在受感染的系统上建立加密挖掘功能。随着加密货币领域在主流人群中的出现，这种攻击越来越受欢迎。根据微软 365 Defender 威胁情报团队发布的一份报告，还有另一项交付LemonDuck 的行动与 LemonCat 同时活跃。但是，有足够的差异来证明将这两个操作分开是合理的。

柠檬猫的特征

虽然较新的 LemonDuck 版本已经扩展了威胁性功能，包括凭据窃取程序，以及其他显着改进，但 LemonCat 更进一步，对受感染系统造成更大的潜在损害。用于传递威胁的初始感染媒介包括蛮力 RDP 攻击和利用边缘漏洞。

一旦获得对系统的访问权限，LemonCat 操作员就会部署 LemonDuck 威胁，但他们也会在攻击的早期阶段将后门特洛伊木马有效载荷投放到选定的目标上。然后恶意软件威胁会继续扫描系统以查找可能已经存在的竞争负载，然后禁用它们。它还可以禁用某些反恶意软件安全产品。默认 Windows Shadow Volume Copy 服务创建的备份将与系统恢复一起删除。在这里，LemonCat 受害者还可能受到其他恶意软件负载的影响，例如Ramnit 。网络犯罪分子可以部署威胁以执行特定操作，具体取决于他们的特定目标。已观察到 LemonCat 会在其他威胁中投放 Ramnit 恶意软件。

LemonCat 可以在受感染组织内横向移动或通过网络钓鱼电子邮件活动寻找新的受害者以进一步传播自身。

受害者的地理位置

LemonDuck 的早期攻击主要针对中国实体。然而，从那时起，涉及威胁的行动范围大大扩大。报告中分析的 LemonDuck 和 LemonCat 基础设施都具有全球影响力。在美国、俄罗斯、中国、德国、英国、印度、韩国、加拿大、法国和越南发现了受害者。该恶意软件能够感染 Windows 和 Linux 设备这一事实也有助于它影响更大的潜在受害者群体。