微软警告针对Windows和Linux系统的LemonDuck恶意软件

一个臭名昭著的跨平台加密挖掘恶意软件通过瞄准较老的漏洞，继续改进攻击Windows和Linux操作系统的技术，同时锁定各种传播机制，以最大限度地提高其活动的有效性。

微软在上周发布的一篇技术评论中称：“LemonDuck是一个积极更新的、健壮的恶意软件，主要以其僵尸网络和加密货币挖掘目标而闻名，当它采取更复杂的行为并升级其操作时，也遵循了同样的轨迹。”。“如今，除了将资源用于传统的机器人和采矿活动之外，LemonDuck还会窃取凭证、移除安全控制、通过电子邮件传播、横向移动，并最终丢弃更多用于人工操作活动的工具。”

该恶意软件因其能够在受感染的网络中快速传播，以方便信息盗窃，并通过转移计算机资源非法开采加密货币，将机器变成加密货币挖掘机器人而臭名昭著。值得注意的是，LemonDuck充当了后续攻击的加载程序，这些攻击涉及凭证盗窃和安装下一阶段植入物，这些植入物可以充当各种恶意威胁的网关，包括勒索软件。

LemonDuck的活动于2019年5月首次在中国被发现，之后它于2020年开始在电子邮件攻击中采用新冠肺炎主题的诱饵，甚至最近解决的“ProxyLogon”Exchange服务器漏洞，以获得对未修补系统的访问。另一个值得注意的策略是，它能够“通过清除竞争性恶意软件，并通过修补用于获取访问权限的相同漏洞，防止任何新的感染，从受损设备中清除其他攻击者。”

包括柠檬龙恶意软件的攻击主要集中在制造业和物联网行业，美国、俄罗斯、中国、德国、英国、印度、韩国、加拿大、法国和越南见证了最多的遭遇。

此外，微软还透露了第二个实体的运营情况，该实体依靠LemonDuck实现“独立目标”，该公司将其命名为“LemonCat”与“CAT”变体相关联的攻击基础设施据说是在2021年1月出现的，最终导致其在攻击攻击漏洞的同时使用针对微软Exchange Server的漏洞。随后利用Cat域进行的入侵导致后门安装、凭据和数据盗窃，以及恶意软件交付，通常是一个名为Ramnit的Windows特洛伊木马。

“Cat基础设施被用于更危险的活动，这一事实并没有降低鸭子基础设施的恶意软件感染的优先级，”微软说。“相反，这种情报为理解这种威胁增加了重要的背景：同一套工具、访问和方法可以在动态间隔内重复使用，从而产生更大的影响。”

更新：在对感染后攻击者行为的深入研究中，微软于周四披露了LemonDuck的传播策略，包括edge发起的妥协和机器人驱动的电子邮件活动，并指出它依靠无文件恶意软件技术，使补救和删除变得非常重要。

“LemonDuck试图自动禁用Microsoft Defender进行端点实时监控，并将整个磁盘驱动器–；特别是C:\drive–；添加到Microsoft Defender排除列表中，”Microsoft 365 Defender威胁情报团队说，这反映了一种被称为“MosaicLoader”的新恶意软件为阻止反病毒扫描而采用的策略。

据说，攻击链还利用了大量免费提供的开源和定制工具集，以方便凭证盗窃、横向移动、权限提升，甚至从受损设备上清除所有其他僵尸网络、矿工和竞争对手恶意软件的痕迹，下载XMRig miner植入物作为其货币化机制的一部分。