专家发现Amadey恶意软件正被部署LockBit 3.0勒索软件

admin 2022年11月10日19:53:09安全新闻评论18 views1276字阅读4分15秒阅读模式

来自AhnLab安全应急响应中心(ASEC)的研究人员报告说,研究人员警告说,Amadey恶意软件正被用来在被攻击的系统上部署LockBit 3.0勒索软件。

据悉,Amadey Bot是一个数据窃取的恶意软件,在2018年首次被发现,它还允许运营商安装额外的有效载荷。该恶意软件可在非法论坛上出售,在过去,它被TA505等网络犯罪团伙用来安装GandCrab勒索软件或FlawedAmmyy RAT。

7月,ASEC研究人员发现,Amadey恶意软件是由SmokeLoader分发的,该软件隐藏在多个网站上的软件破解和序列生成程序中。

"ASEC分析团队已经确认,攻击者正在使用Amadey Bot安装LockBit。  "该安全公司发表的报告中写道。"Amadey Bot是用来安装LockBit的恶意软件,它通过两种方法传播:一种是使用恶意的Word文档文件,另一种是使用采取Word文件图标伪装的可执行程序。"

10月底,研究人员发现Amadey Bot作为一个名为KakaoTalk的韩国著名信使应用程序分发。

研究人员提供了关于最近两个传播案例的细节。

在第一个分发情况中,威胁者使用了一个名为 "Sia_Sim.docx "的恶意Word文件。它下载了一个包含恶意VBA宏的Word文件,文本主体包括一个图片,提示用户点击 "启用内容 "以启用VBA宏。

文本体包含一个图像,提示用户点击 "启用内容 "以启用VBA宏,而VBA宏又运行一个PowerShell命令来下载和运行Amadey。这个恶意的微软Word文档("심시아.docx")于2022年10月28日被上传到VirusTotal。

专家发现Amadey恶意软件正被部署LockBit 3.0勒索软件

在第二个传播案例中,威胁者将Amadey恶意软件伪装成一个带有Word图标的看似无害的文件,但实际上是一个可执行文件("Resume.exe")。该文件是通过网络钓鱼信息传播的,但目前ASEC还没有确定用作诱饵的电子邮件。

一旦安装,Amadey会注册到任务调度器以获得持久性。它连接到C&C服务器,发送受感染系统的默认信息,并接收命令。

专家注意到,Amadey从C2服务器接收三个命令。这些命令用于从外部来源下载和执行恶意软件。两个命令 "cc.ps1 "和 "dd.ps1 "是powerhell形式的LockBits,而第三个命令名为 "LBB.exe "是exe形式的LockBit。

自2022年以来,通过Amadey安装的Lockbits已经在韩国分布,该团队已经发布了各种分析勒索软件的文章。最近确认的版本是LockBit 3.0,它使用工作申请和版权等关键词进行传播。从这些主题来看,似乎攻击的目标是公司。

由于LockBit勒索软件正在通过各种方法传播,建议用户谨慎行事。用户应将他们使用的应用程序和V3更新到最新版本,并避免打开来自未知来源的文件。



原文来源:E安全

“投稿联系方式:孙中豪 010-82992251   [email protected]

专家发现Amadey恶意软件正被部署LockBit 3.0勒索软件

原文始发于微信公众号(网络安全应急技术国家工程实验室):专家发现Amadey恶意软件正被部署LockBit 3.0勒索软件

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月10日19:53:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  专家发现Amadey恶意软件正被部署LockBit 3.0勒索软件 http://cn-sec.com/archives/1402090.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: