- Ausgehend von China hat sich die LemonDuck Krypto-Mining-Malware weltweit ausgebreitet, insbesondere in Nordamerika und Asien.
- Microsoft warnt davor, dass sie ausgeklügelte Tools verwendet, um Unternehmenslösungen anzugreifen und sich plattformübergreifend zu verbreiten.
Krypto-Mining-Malware fordert weiterhin ihren Tribut. Microsoft warnte kürzlich vor der berüchtigten, plattformübergreifenden Krypto-Mining-Malware LemonDuck. Sie greift nicht nur Windows-, sondern auch Linux-Computer an.
In seinem offiziellen Statement wies Microsoft darauf hin, dass LemonDuck eine Vielzahl von Verbreitungsmechanismen einsetzt, um seine Wirkung zu maximieren. Seine traditionellen Bot- und Mining-Aktivitäten bestehen darin, die Anmeldedaten der Benutzer zu stehlen und gleichzeitig Sicherheitskontrollen zu entfernen.
Die LemonDuck-Malware verbreitet sich über E-Mails und hinterlässt weitere Schad-Software auf jedem befallenen Computer. Die größte Bedrohung von LemonDuck ist jedoch, dass es plattformübergreifend agiert und sich deswegen sehr schnell verbreitet. In dem Statement heißt es:
„Die Bedrohung für Unternehmen durch LemonDuck liegt auch darin, dass es sich um eine plattformübergreifende Bedrohung handelt. Es ist eine der wenigen dokumentierten Bot-Malware-Familien, die sowohl auf Linux-Systemen als auch auf Windows-Geräten destruktiv ist. LemonDuck nutzt eine Vielzahl an Verbreitungsmechanismen: Phishing-E-Mails, Exploits, USB-Geräte, Brute-Force etc. – und hat gezeigt, dass Nachrichten, Ereignisse und die Veröffentlichung neuer Exploits schnell ausgenutzt werden, um effektive Kampagnen durchzuführen.“
So fungiert LemonDuck als Lader für nachfolgende Angriffe, die den Diebstahl von Anmeldeinformationen beinhalten. Außerdem kann er Folgeimplantate installieren, die als Einfallstor für eine Reihe anderer bösartiger Bedrohungen dienen, darunter auch Ransomware.
Weltweite Expansion
In den ersten Jahren war LemonDuck auf China ausgerichtet. Allerdings haben sich seine Aktivitäten auf mehrere andere Länder ausgeweitet. Heute betrifft es einen großen geografischen Bereich einschließlich Nordamerika und Asien.
In diesem Jahr hat LemonDuck damit begonnen, diversifizierte Befehle und eine ausgefeilte Infrastruktur und Tools zu verwenden, heißt es in dem Microsoft-Bericht:
„LemonDuck nutzt C2s, Funktionen, Skriptstrukturen und Variablennamen noch weitaus länger als die durchschnittliche Malware. Dies ist wahrscheinlich auf die Verwendung von kugelsicheren Hosting-Providern wie Epik Holdings zurückzuführen, bei denen es unwahrscheinlich ist, dass ein Teil der LemonDuck-Infrastruktur offline genommen wird, selbst wenn böswillige Aktionen gemeldet werden, wodurch LemonDuck nicht entfernt wird und weiterhin eine Bedrohung ist.“
Lemonduck verwendet häufig Open-Source-Material, das aus Ressourcen anderer Botnets aufgebaut ist. Daher sehen mehrere Komponenten der Bedrohung ähnlich aus. Microsoft hat jedoch zwei unterschiedliche Betriebsstrukturen ausgehoben, wobei beide die LemonDuck-Malware verwenden, aber von verschiedenen Entitäten mit separaten Zielen betrieben werden.
Die „Duck“-Infrastruktur ist hartnäckig bei der Durchführung von Kampagnen und führt begrenzte Folgeaktivitäten durch. Die Infrastruktur arbeitet in Verbindung mit der Kompromittierung von Edge-Geräten und dient als Infektionsmethode. Sie verwendet explizit das „LemonDuck“-Skript.
Die zweite Infrastruktur ist die „Cat“-Infrastruktur, die über zwei Domänen mit „Cat“ im Namen verfügt. Diese nutzen immer die Schwachstellen in Microsoft Exchange Server aus. Heute ist die „Cat“-Infrastruktur bei Angriffen wie Backdoor-Installation, Diebstahl von Anmeldeinformationen und Daten sowie Bereitstellung von Malware präsent. Diese Infrastruktur liefert häufig die Malware „Ramnit“.