LemonCat-Malware
LemonCat ist eine neue bedrohliche Operation mit der bereits erkannten LemonDuck-Malware. Die Bedrohung durch LemonDuck wurde erstmals im Mai 2019 entdeckt und wird seitdem aktiv genutzt. Der Fokus lag zunächst auf der Einrichtung von Krypto-Mining-Fähigkeiten auf den infizierten Systemen. Dieser Angriff hat mit dem Aufkommen der Kryptowährungssphäre in der Mainstream-Bevölkerung an Popularität gewonnen. Laut einem vom Microsoft 365 Defender Threat Intelligence Team veröffentlichten Bericht gibt es eine weitere Operation, die LemonDuck liefert, die gleichzeitig mit LemonCat aktiv ist. Es gibt jedoch genügend Unterschiede, um eine Trennung der beiden Operationen zu rechtfertigen.
Eigenschaften von LemonCat
Während die neueren LemonDuck-Versionen bedrohliche Funktionalitäten, die unter anderem Routinen zum Stehlen von Anmeldeinformationen umfassen, erheblich erweitert haben, geht LemonCat noch weiter und verursacht noch größere potenzielle Schäden an den infizierten Systemen. Zu den anfänglichen Infektionsvektoren, die zur Übertragung der Bedrohung verwendet werden, gehören Brute-Force-RDP-Angriffe und die Ausnutzung von Edge-Schwachstellen.
Sobald sie sich Zugang zum System verschafft haben, setzen die LemonCat-Betreiber die LemonDuck-Bedrohung ein, aber sie legen in diesem frühen Stadium des Angriffs auch Backdoor-Trojaner-Payloads auf ausgewählten Zielen ab. Die Malware-Bedrohung scannt dann das System nach möglicherweise bereits vorhandenen konkurrierenden Nutzlasten und deaktiviert sie dann. Es kann auch bestimmte Anti-Malware-Sicherheitsprodukte deaktivieren. Die vom standardmäßigen Windows Shadow Volume Copy-Dienst erstellten Backups werden zusammen mit der Systemwiederherstellung gelöscht. Hier können LemonCat-Opfer auch zusätzlichen Schadprogrammen wie Ramnit ausgesetzt sein. Cyberkriminelle können Bedrohungen einsetzen, die abhängig von ihrem jeweiligen Ziel bestimmte Aktionen ausführen. Es wurde beobachtet, dass LemonCat neben anderen Bedrohungen auch Ramnit-Malware ablegt.
LemonCat kann sich innerhalb der kompromittierten Organisation seitlich bewegen oder über Phishing-E-Mail-Kampagnen nach neuen Opfern suchen, um sich weiter zu verbreiten.
Geolokalisierung der Opfer
Die frühen Angriffe mit LemonDuck zielten hauptsächlich auf Unternehmen mit Sitz in China. Seitdem hat sich der Umfang der Operationen mit der Bedrohung jedoch stark erweitert. Sowohl die im Bericht analysierten Infrastrukturen LemonDuck als auch LemonCat haben eine globale Reichweite. Opfer wurden in den Vereinigten Staaten, Russland, China, Deutschland, Großbritannien, Indien, Korea, Kanada, Frankreich und Vietnam entdeckt. Die Tatsache, dass die Malware sowohl Windows- als auch Linux-Geräte infizieren kann, trägt auch dazu bei, dass sie einen viel größeren Pool potenzieller Opfer betrifft.
