Related Articles
Microsoft 365 Defender 威胁情报团队周四 发表 在获得对易受攻击的设备的访问权限后,详细了解用于挖掘 Monero 加密货币的 LemonDuck 和 LemonCat 恶意软件等。
微软表示,“美国、俄罗斯、中国、德国、英国、印度、韩国、加拿大、法国和越南”的设备最常受到 LemonDuck 的影响。 该恶意软件也利用了 Windows 和 Linux 中的漏洞,这有助于它在寻找潜在受害者时尽可能广泛地撒网。
LemonDuck 并不是一个新的威胁——它从那时起就一直很活跃 至少 2019 年. 保安公司如 趋势科技 和 思科塔洛斯 从那以后的几个月里一直跟着它。 然而,从 1 月开始,似乎有两个不同版本的恶意软件共享许多特征,但在几个显着方面存在差异。
微软表示,它“意识到两种不同的操作结构,它们都使用 LemonDuck 恶意软件,但可能由两个不同的实体为不同的目标操作。” 它决定保留第一个运营结构的 LemonDuck 绰号,但对于第二个,它决定一个新名称。 认识柠檬猫。
根据微软的说法,LemonCat 基础设施“用于通常会导致后门安装、凭据和数据盗窃以及恶意软件传递的攻击。” 该公司表示,这意味着基于 LemonCat 的攻击通常比基于 LemonDuck 的攻击更危险,但这并不意味着后者是无害的。
LemonDuck 和 LemonCat 也有很多共同点。 微软说:
“Duck 和 Cat 基础架构使用相似的子域,并且它们使用相同的任务名称,例如‘blackball’。这两个基础架构还使用托管在相似或相同站点上的相同打包组件进行挖掘、横向移动和竞争移除脚本,以及许多相同的函数调用。”
该公司还提供了一张图表,展示了 LemonDuck 和 LemonCat 在攻击过程的不同阶段如何相互比较:
微软表示,它计划发布一篇配套文章,其中包含“对 LemonDuck 感染后恶意行为的深入技术分析”以及“调查 LemonDuck 攻击的指南,以及加强对这些攻击的防御的缓解建议”。观点。
但就目前而言,LemonDuck 和 LemonCat 值得注意,因为它们具有广泛的影响力、影响多个操作系统的能力、跨网络传播的方法以及在最初发现后很长一段时间内的持续运行。 (或者至少是第一本详细介绍 LemonDuck 攻击方法的出版物。)
恶意软件还可能对其感染的硬件产生显着影响。 加密货币挖掘会影响其他软件的性能,给组件带来额外压力,并导致功耗增加。 LemonDuck 的运营商无需处理这些缺点即可接收开采的门罗币。
因此,感染 LemonDuck 或 LemonCat 的最佳情况是它会导致挖掘门罗币的硬件问题。 这比最坏的情况要好——它使系统对进一步的利用和窃取信息和凭据开放——但差不了多少。 没有用这些柠檬制成的柠檬水。
