微软发布针对Windows和Linux系统的LemonDuck恶意软件警告通报

臭名昭著的跨平台加密挖矿恶意软件继续改进其技术，通过较旧的漏洞来攻击 Windows 和 Linux 操作系统，同时锁定各种传播机制以最大限度地提高其攻击的有效性。

“LemonDuck 是一种积极更新且强大的恶意软件，主要以其僵尸网络和加密货币挖矿为目标而闻名，当它采用更复杂的行为并升级其操作时，它遵循了相同的轨迹，”微软在上周发布的一篇技术文章中表示。“今天，除了将资源用于其传统的机器人和挖矿活动之外，LemonDuck 还会窃取凭据、移除安全控制、通过电子邮件传播、横向移动，并最终为人工操作的活动放弃更多工具。”

该恶意软件因其能够在受感染的网络中快速传播以促进信息窃取并通过转移其计算资源非法挖掘加密货币将机器变成加密货币挖掘机器人的能力而臭名昭著。值得注意的是，LemonDuck 充当后续攻击的加载程序，这些攻击涉及凭证盗窃和安装下一阶段植入物，这些植入物可能充当各种恶意威胁（包括勒索软件）的网关。

LemonDuck 的活动于 2019 年 5 月首次在中国被发现，之后它于 2020 年开始在电子邮件攻击中采用以COVID-19 为主题的诱饵，甚至是最近解决的“ ProxyLogon ” Exchange Server 缺陷以访问未修补的系统。另一个值得注意的策略是它能够“通过摆脱竞争恶意软件并通过修补用于获得访问权限的相同漏洞来防止任何新感染，从受感染设备中清除其他攻击者”。

包含 LemonDuck 恶意软件的攻击主要集中在制造和物联网领域，美国、俄罗斯、中国、德国、英国、印度、韩国、加拿大、法国和越南遭遇的攻击最多。

此外，微软还公布了依赖 LemonDuck 实现“独立目标”的第二个实体的运营，该公司代号为“LemonCat”。据说与“Cat”变体相关的攻击基础设施于 2021 年 1 月出现，最终导致其被用于利用针对 Microsoft Exchange Server 的漏洞的攻击。随后利用 Cat 域的入侵导致后门安装、凭据和数据被盗以及恶意软件传送，通常是一种名为Ramnit的 Windows 木马。

微软表示：“Cat 基础设施用于更危险的活动这一事实并没有降低来自 Duck 基础设施的恶意软件感染的优先级。” “相反，这种情报增加了理解这种威胁的重要背景：可以动态地重复使用相同的工具、访问和方法集，以产生更大的影响。”