[English]LemonDuck und LemonCat ist Malware, die sowohl als Bot fungiert als auch Crypto-Geld schürft. LemonDuck kann auf verschiedenen Plattformen (Linux, Windows) laufen, und bedroht so Maschinen in Unternehmensnetzwerken. Laut Microsoft ist diese Malware bisher wenig dokumentiert, weshalb man dies in zwei Blog-Beiträgen aufgreifen und ändern möchte. Ich nehme es einfach mal als Sonntagsthema zur Lektüre mit auf.
Anzeige
Um die heutigen Bedrohungen für Unternehmen zu bekämpfen und zu verhindern, ist ein umfassender Schutz erforderlich, der sich auf den gesamten Umfang und die Auswirkungen von Angriffen konzentriert. Dazu ist auch das Wissen um Malware hilfreich, denn selbst so genannte Standard-Malware kann weitere gefährliche Bedrohungen mit sich bringen. Das lässt sich bei Banking-Trojanern verfolgen, die als Einstiegspunkt für Ransomware und Angriffe über die Tastatur dienen.
LemonDuck, eine aktiv aktualisierte und robuste Malware, die in erster Linie für ihre Botnet- und Cryptocurrency-Mining-Ziele bekannt ist, folgte der gleichen Entwicklung. Die Malware zeigt jetzt ein ausgefeilteres Verhalten und verstärkt ihre Operationen. Heute nutzt LemonDuck nicht nur Ressourcen für seine traditionellen Bot- und Mining-Aktivitäten. Sondern die Malware stiehlt in der aktuellen Fassung auch Anmeldedaten, entfernt Sicherheitskontrollen, verbreitet sich über E-Mails, bewegt sich lateral (seitlich) im Netzwerk und legt Tools als Fallen für manuell durchgeführte Aktivitäten der Benutzer als Köder aus.
Das Sicherheitsteam von Microsoft weist in obigem Tweet auf diesen Blog-Beitrag hin. Es handelt sich um Teil 1 einer Artikelfolge zum Thema. Die Bedrohung für Unternehmen durch LemonDuck liegt laut Microsoft auch darin, dass es sich um eine plattformübergreifend funktionsfähige Malware handelt. Es ist eine der wenigen dokumentierten Bot-Malware-Familien, die sowohl auf Linux-Systeme als auch auf Windows-Geräte abzielt.
Anzeige
Die Malware nutzt eine breite Palette von Verbreitungsmechanismen – Phishing-E-Mails, Exploits, USB-Geräte, Brute-Force und andere. Die Hintermänner dieser Malware haben gezeigt, dass sie Nachrichten, Ereignisse oder die Veröffentlichung neuer Exploits schnell ausnutzen können, um effektive Kampagnen durchzuführen. Im Jahr 2020 wurde der Bedrohungsakteur beispielsweise dabei beobachtet, wie er in E-Mail-Angriffen Köder mit dem COVID-19-Thema verwendete. Im Jahr 2021 nutzte er neu gepatchte Exchange Server-Schwachstellen auf ungepatchten Maschinen aus, um sich Zugang zu veralteten Systemen zu verschaffen. Mehr Details lassen sich dem Blog-Beitrag des Security-Teams entnehmen.
Anzeige