来自AhnLab安全应急响应中心(ASEC)的研究人员报告说,研究人员警告说,Amadey恶意软件正被用来在被攻击的系统上部署LockBit 3.0勒索软件。
据悉,Amadey Bot是一个数据窃取的恶意软件,在2018年首次被发现,它还允许运营商安装额外的有效载荷。该恶意软件可在非法论坛上出售,在过去,它被TA505等网络犯罪团伙用来安装GandCrab勒索软件或FlawedAmmyy RAT。
7月,ASEC研究人员发现,Amadey恶意软件是由SmokeLoader分发的,该软件隐藏在多个网站上的软件破解和序列生成程序中。
"ASEC分析团队已经确认,攻击者正在使用Amadey Bot安装LockBit。 "该安全公司发表的报告中写道。"Amadey Bot是用来安装LockBit的恶意软件,它通过两种方法传播:一种是使用恶意的Word文档文件,另一种是使用采取Word文件图标伪装的可执行程序。"
10月底,研究人员发现Amadey Bot作为一个名为KakaoTalk的韩国著名信使应用程序分发。
研究人员提供了关于最近两个传播案例的细节。
在第一个分发情况中,威胁者使用了一个名为 "Sia_Sim.docx "的恶意Word文件。它下载了一个包含恶意VBA宏的Word文件,文本主体包括一个图片,提示用户点击 "启用内容 "以启用VBA宏。
文本体包含一个图像,提示用户点击 "启用内容 "以启用VBA宏,而VBA宏又运行一个PowerShell命令来下载和运行Amadey。这个恶意的微软Word文档("심시아.docx")于2022年10月28日被上传到VirusTotal。
在第二个传播案例中,威胁者将Amadey恶意软件伪装成一个带有Word图标的看似无害的文件,但实际上是一个可执行文件("Resume.exe")。该文件是通过网络钓鱼信息传播的,但目前ASEC还没有确定用作诱饵的电子邮件。
一旦安装,Amadey会注册到任务调度器以获得持久性。它连接到C&C服务器,发送受感染系统的默认信息,并接收命令。
专家注意到,Amadey从C2服务器接收三个命令。这些命令用于从外部来源下载和执行恶意软件。两个命令 "cc.ps1 "和 "dd.ps1 "是powerhell形式的LockBits,而第三个命令名为 "LBB.exe "是exe形式的LockBit。
自2022年以来,通过Amadey安装的Lockbits已经在韩国分布,该团队已经发布了各种分析勒索软件的文章。最近确认的版本是LockBit 3.0,它使用工作申请和版权等关键词进行传播。从这些主题来看,似乎攻击的目标是公司。
由于LockBit勒索软件正在通过各种方法传播,建议用户谨慎行事。用户应将他们使用的应用程序和V3更新到最新版本,并避免打开来自未知来源的文件。
原文来源:E安全
原文始发于微信公众号(网络安全应急技术国家工程实验室):专家发现Amadey恶意软件正被部署LockBit 3.0勒索软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论