LemonCat 惡意軟件

LemonCat 是一種新的威脅操作，涉及已檢測到的 LemonDuck 惡意軟件。 LemonDuck 威脅於 2019 年 5 月首次被檢測到，此後一直被積極使用。最初的重點是在受感染的系統上建立加密挖掘功能。隨著加密貨幣領域在主流人群中的出現，這種攻擊越來越受歡迎。根據微軟 365 Defender 威脅情報團隊發布的一份報告，還有另一項交付LemonDuck 的行動與 LemonCat 同時活躍。但是，有足夠的差異來證明將兩個操作分開是合理的。

檸檬貓的特徵

雖然較新的 LemonDuck 版本已經擴展了威脅性功能，包括憑據竊取程序，以及其他顯著改進，但 LemonCat 更進一步，對受感染系統造成更大的潛在損害。用於傳遞威脅的初始感染媒介包括蠻力 RDP 攻擊和利用邊緣漏洞。

一旦獲得對系統的訪問權限，LemonCat 操作員就會部署 LemonDuck 威脅，但他們也會在攻擊的早期階段將後門特洛伊木馬有效載荷投放到選定的目標上。然後惡意軟件威脅會繼續掃描系統以查找可能已經存在的競爭負載，然後禁用它們。它還可以禁用某些反惡意軟件安全產品。默認 Windows Shadow Volume Copy 服務創建的備份將與系統恢復一起刪除。在這裡，LemonCat 受害者還可能受到其他惡意軟件負載的影響，例如Ramnit 。網絡犯罪分子可以部署威脅以執行特定操作，具體取決於他們的特定目標。已觀察到 LemonCat 會在其他威脅中投放 Ramnit 惡意軟件。

LemonCat 可以在受感染組織內橫向移動或通過網絡釣魚電子郵件活動尋找新的受害者以進一步傳播自身。

受害者的地理位置

LemonDuck 的早期攻擊主要針對中國實體。然而，從那時起，涉及威脅的行動範圍大大擴大。報告中分析的 LemonDuck 和 LemonCat 基礎設施都具有全球影響力。在美國、俄羅斯、中國、德國、英國、印度、韓國、加拿大、法國和越南發現了受害者。該惡意軟件能夠感染 Windows 和 Linux 設備這一事實也有助於它影響更大的潛在受害者群體。