援引TheHackerNews报道称,为提高恶意活动效率,LemonDuck通过关注早期漏洞,不断完善和强化针对Windows和macOS的攻击技术并简化攻击过程。微软表示,LemonDuck是一种非常活跃且功能强大的恶意软件,在成功攻击后已被用于僵尸网络和加密货币挖掘。它采取更复杂的行动并加强其工作方式。最新版本已经能够绕过安全检查、通过电子邮件传播、横向移动、窃取凭据并产生更多的黑客工具。感染该恶意软件后,迅速传播到设备所在网络,窃取设备上的用户信息,利用计算机资源非法开采加密货币。具体来说,LemonDuck充当涉及窃取凭证和安装下一代植入程序的后续攻击的加载程序,可以充当多种威胁的网关,其中最重要的是勒索软件。另一个值得注意的策略是能够通过删除竞争软件并通过修复攻击者可以访问的漏洞来防止新的感染,从而将其他攻击者从受感染的设备中移除。LemonDuck恶意软件目前主要针对制造业和物联网行业,大多数攻击发生在俄罗斯、韩国、中国、法国、德国、印度、加拿大、越南和美国。此外,微软还公开了第二个实体LemonCat的工作原理,该实体将LemonDuck用于各种目的。据报道,LemonCat的攻击架构在2021年1月左右浮出水面,最终利用MicrosoftExchange服务器中的漏洞进行攻击。随后篡改Cat域的使用导致安装后门、窃取凭据和数据以及部署恶意软件,通常是称为Ramnit的Windows特洛伊木马。
