LemonCatマルウェア

LemonCatは、すでに検出されたLemonDuckマルウェアが関与する新しい脅威的な操作です。 LemonDuckの脅威は、2019年5月に最初に検出され、それ以来積極的に使用されています。最初の焦点は、感染したシステムで暗号マイニング機能を確立することでした。この攻撃は、主流の人々の間で暗号通貨圏の出現とともに人気が高まっています。 Microsoftの365Defender Threat Intelligence Teamが発表したレポートによると、LemonCatと同時にアクティブなLemonDuckを配信する別の操作があります。ただし、2つの操作を分離することを正当化するのに十分な違いがあります。

LemonCatの特徴

新しいLemonDuckバージョンでは、クレデンシャルを盗むルーチンなどの脅威となる機能が大幅に改善されていますが、LemonCatはさらに進んで、感染したシステムにさらに大きな損害を与える可能性があります。脅威を提供するために使用される最初の感染ベクトルには、ブルートフォースRDP攻撃とエッジの脆弱性の悪用が含まれます。

システムにアクセスできるようになると、LemonCatオペレーターはLemonDuck脅威を展開しますが、攻撃のこの初期段階で、選択したターゲットにバックドア型トロイの木馬ペイロードをドロップします。次に、マルウェアの脅威は、システムをスキャンして、すでに存在している可能性のある競合するペイロードを探し、それらを無効にします。また、特定のマルウェア対策セキュリティ製品を無効にすることもできます。デフォルトのWindowsシャドウボリュームコピーサービスによって作成されたバックアップは、システムの回復とともに削除されます。ここでは、LemonCatの被害者はまた、以下のような追加のマルウェアのペイロードを受けることができるRamnit 。サイバー犯罪者は、特定の目標に応じて、特定のアクションを実行するように任務を負った脅威を展開できます。 LemonCatは、他の脅威の中でも特にRamnitマルウェアをドロップすることが観察されています。

LemonCatは、侵害された組織内を横方向に移動したり、フィッシングメールキャンペーンを介して新しい被害者を探したりして、さらに拡散することができます。

犠牲者のジオロケーション

LemonDuckによる初期の攻撃は、主に中国を拠点とするエンティティを標的にしました。しかし、それ以来、脅威を伴う操作の範囲は大幅に拡大しました。レポートで分析されたLemonDuckインフラストラクチャとLemonCatインフラストラクチャは、どちらもグローバルに展開されています。犠牲者は、米国、ロシア、中国、ドイツ、英国、インド、韓国、カナダ、フランス、ベトナムで検出されています。マルウェアがWindowsデバイスとLinuxデバイスの両方に感染する可能性があるという事実は、潜在的な被害者のはるかに大きなプールに影響を与えるのにも役立ちます。