# LemonDuck > Tipo: **cryptominer** · S0885 · [MITRE ATT&CK](https://attack.mitre.org/software/S0885) ## Descrição [[s0885-lemonduck|LemonDuck]] é um malware de cryptomining sofisticado que evoluiu de um simples minerador de Monero para uma ameaça multifuncional com capacidades de propagação automática, exfiltração de credenciais e implantação de backdoors adicionais. Identificado pela primeira vez em 2019, o [[s0885-lemonduck|LemonDuck]] ganhou destaque em 2020-2021 ao explorar ativamente vulnerabilidades de alta severidade, incluindo o ProxyLogon (Microsoft Exchange CVE-2021-26855) e EternalBlue (MS17-010), para propagação massiva em redes corporativas. A Microsoft e outros fornecedores documentaram extensamente suas operações, revelando infraestrutura C2 baseada na China. O [[s0885-lemonduck|LemonDuck]] se propaga através de múltiplos vetores: exploração de servidores Exchange expostos ([[t1190-exploit-public-facing-application|T1190]]), propagação via SMB ([[t1021-002-smbwindows-admin-shares|T1021.002]]), brute force de RDP ([[t1021-001-remote-desktop-protocol|T1021.001]]) e phishing. Uma vez em execução, o malware elimina ativamente processos de outros mineradores e malwares concorrentes ([[t1562-001-disable-or-modify-tools|T1562.001]]) para maximizar uso de CPU para mineração de Monero ([[t1496-resource-hijacking|T1496]]). Scripts PowerShell obfuscados ([[t1059-001-powershell|T1059.001]], [[t1027-obfuscated-files-or-information|T1027]]) são utilizados para download e execução de componentes do [[s0885-lemonduck|LemonDuck]] via HTTP ([[t1071-001-web-protocols|T1071.001]]). O aspecto mais preocupante do [[s0885-lemonduck|LemonDuck]] é sua evolução além do cryptomining: versões recentes incluem funcionalidades de backdoor que permitem ao operador instalar ferramentas adicionais como Cobalt Strike e executar comandos arbitrários nos sistemas comprometidos. Isso transforma infecções de [[s0885-lemonduck|LemonDuck]] - frequentemente descartadas como "apenas um minerador" - em pontos de entrada para campanhas de espionagem ou ransomware muito mais impactantes. A eliminação de outros malwares também pode ser interpretada como "limpeza" de sistemas-alvo de alto valor para uso exclusivo pelo operador. **Plataformas:** Linux, Windows ## Técnicas Utilizadas - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial<br/>ProxyLogon CVE-2021-26855<br/>EternalBlue MS17-010<br/>Brute force RDP/SMB"] --> B["📥 Download de Componentes<br/>Scripts PowerShell obfuscados<br/>Via HTTP - T1071.001"] B --> C["🧹 Eliminacao de Concorrentes<br/>Script KR.Bin Killer<br/>Mata outros miners/malwares"] C --> D["⛏️ Mineracao de Monero<br/>Resource Hijacking T1496<br/>XMRig - pool C2 na China"] D --> E["🔄 Propagação Automatica<br/>SMB via EternalBlue<br/>RDP brute force - rede interna"] E --> F["🚪 Backdoor Adicional<br/>Cobalt Strike implantado<br/>Acesso para outros atacantes"] classDef exploit fill:#c0392b,stroke:#922b21,color:#fff classDef setup fill:#e67e22,stroke:#d35400,color:#fff classDef mine fill:#f1c40f,stroke:#d4ac0d,color:#000 classDef spread fill:#2980b9,stroke:#1a5276,color:#fff classDef persist fill:#8e44ad,stroke:#6c3483,color:#fff class A exploit class B,C setup class D mine class E spread class F persist ``` **Variantes:** LemonDuck (mineracao) e LemonCat (backdoor + Cobalt Strike, janeiro 2021) ## Timeline ```mermaid timeline title LemonDuck - Evolução 2019 : Primeira detecção como cryptominer Monero : Infraestrutura C2 baseada na China 2020 : Expansao de vetores de propagação : Script KR.Bin Killer documentado 2021-Ján : Variante LemonCat identificada : Adiciona backdoor e entrega Cobalt Strike 2021-Mar : Exploração massiva ProxyLogon Exchange : Milhares de servidores comprometidos 2021-Jun : Microsoft publica análise completa : Dois grupos operacionais documentados 2022 : Persistência em redes comprometidas : Infeccoes Exchange nao remediadas 2023-2024 : Continua ativo em servidores expostos : Infraestrutura C2 China persistente ``` ## Detecção Detecção do [[s0885-lemonduck|LemonDuck]] é frequentemente possível via monitoramento de desempenho e atividade de rede. Indicadores: uso anormal de CPU (>70-80%) por processos de serviço; execução de scripts PowerShell obfuscados em base64 de longa extensão; tentativas de conexão via SMB e RDP para múltiplos hosts internos em sequência; e comúnicações com pools de mineração Monero conhecidos (XMRig beacons). Patching de vulnerabilidades exploradas (ProxyLogon, EternalBlue) é a principal mitigação preventiva. Políticas de execução de PowerShell (Constrained Language Mode) e AppLocker reduzem a superfície de ataque. ## Relevância LATAM/Brasil O [[s0885-lemonduck|LemonDuck]] tem alta relevância para o Brasil, onde campanhas de cryptomining afetam regularmente servidores corporativos de PMEs e grandes empresas. A exploração do ProxyLogon afetou milhares de servidores Exchange no Brasil que não foram patcheados imediatamente em 2021. A combinação de cryptomining + backdoor implantado pelo [[s0885-lemonduck|LemonDuck]] significa que infecções em servidores brasileiros de energia, saúde e finanças podem ter criado pontos de acesso persistentes não detectados. Organizações brasileiras devem incluir o [[s0885-lemonduck|LemonDuck]] em suas análises de risco de infraestrutura exposta à internet. ## Referências - [MITRE ATT&CK - S0885](https://attack.mitre.org/software/S0885)