Malware LemonCat

LemonCat est une nouvelle opération menaçante impliquant le malware LemonDuck déjà détecté. La menace LemonDuck a été détectée pour la première fois en mai 2019 et est utilisée activement depuis lors. L'objectif initial était d'établir des capacités de crypto-mining sur les systèmes infectés. Cette attaque a gagné en popularité parallèlement à l'avènement de la sphère de la crypto-monnaie parmi la population majoritaire. Selon un rapport publié par l'équipe 365 Defender Threat Intelligence de Microsoft, il existe une autre opération fournissant LemonDuck qui est active avec LemonCat simultanément. Cependant, il existe suffisamment de différences pour justifier la séparation des deux opérations.

Caractéristiques de LemonCat

Alors que les nouvelles versions de LemonDuck ont étendu des fonctionnalités menaçantes qui incluent des routines de vol d'informations d'identification, entre autres améliorations significatives, LemonCat va encore plus loin, causant des dommages potentiels encore plus importants aux systèmes infectés. Les vecteurs d'infection initiaux utilisés pour transmettre la menace incluent les attaques RDP par force brute et l'exploitation des vulnérabilités de périphérie.

Une fois qu'ils ont eu accès au système, les opérateurs LemonCat déploient la menace LemonDuck, mais ils abandonnent également des charges utiles de chevaux de Troie de porte dérobée sur des cibles sélectionnées à ce stade précoce de l'attaque. La menace malveillante analyse ensuite le système à la recherche de charges utiles concurrentes qui peuvent déjà être présentes, puis les désactive. Il peut également désactiver certains produits de sécurité anti-malware. Les sauvegardes créées par le service Windows Shadow Volume Copy par défaut seront supprimées en même temps que la récupération du système. Ici, les victimes de LemonCat peuvent également être soumises à des charges utiles de logiciels malveillants supplémentaires telles que Ramnit. Les cybercriminels peuvent déployer des menaces chargées d'effectuer des actions spécifiques, en fonction de leur objectif particulier. Il a été observé que LemonCat abandonne les logiciels malveillants Ramnit parmi d'autres menaces.

LemonCat peut se déplacer latéralement au sein de l'organisation compromise ou rechercher de nouvelles victimes via des campagnes d'e-mail de phishing pour se propager davantage.

Géolocalisation des victimes

Les premières attaques avec LemonDuck ciblaient principalement des entités basées en Chine. Cependant, depuis lors, la portée des opérations impliquant la menace s'est considérablement élargie. Les infrastructures LemonDuck et LemonCat analysées dans le rapport ont une portée mondiale. Des victimes ont été détectées aux États-Unis, en Russie, en Chine, en Allemagne, au Royaume-Uni, en Inde, en Corée, au Canada, en France et au Vietnam. Le fait que le malware soit capable d'infecter à la fois les appareils Windows et Linux l'aide également à avoir un impact sur un plus grand nombre de victimes potentielles.