专家发现Amadey恶意软件正被部署LockBit 3.0勒索软件
来自AhnLab平安应急响应中心(ASEC)的研究人员陈述说,研究人员警告说,Amadey歹意软件正被用来在被进攻的系统上摆设LockBit 3.0讹诈软件。
据悉,Amadey Bot是一个数据窃取的歹意软件,在2018年初次被发现,它还容许运营商安拆额外的有效载荷。该歹意软件可在不法论坛上出卖,在过往,它被TA505等收集立功团伙用来安拆GandCrab讹诈软件或FlawedAmmyy RAT。
7月,ASEC研究人员发现,Amadey歹意软件是由SmokeLoader分发的,该软件隐躲在多个网站上的软件破解和序列生成法式中。
"ASEC阐发团队已经确认,进攻者正在利用Amadey Bot安拆LockBit。 "该平安公司颁发的陈述中写道。"Amadey Bot是用来安拆LockBit的歹意软件,它通过两种办法传布:一种是利用歹意的Word文档文件,另一种是利用摘取Word文件图标假装的可施行法式。"
10月底,研究人员发现Amadey Bot做为一个名为KakaoTalk的韩国闻名信使利用法式分发。
研究人员供给了关于比来两个传布案例的细节。
在第一个分发情状中,威胁者利用了一个名为 "Sia_Sim.docx "的歹意Word文件。它下载了一个包罗歹意VBA宏的Word文件,文本主体包罗一个图片,提醒用户点击 "启用内容 "以启用VBA宏。
文本体包罗一个图像,提醒用户点击 "启用内容 "以启用VBA宏,而VBA宏又运行一个PowerShell号令来下载和运行Amadey。那个歹意的微软Word文档("심시아.docx")于2022年10月28日被上传到VirusTotal。
在第二个传布案例中,威胁者将Amadey歹意软件假装成一个带有Word图标的看似无害的文件,但现实上是一个可施行文件("Resume.exe")。该文件是通过收集垂钓信息传布的,但目前ASEC还没有确定用做诱饵的电子邮件。
一旦安拆,Amadey会注册到使命调度器以获得耐久性。它毗连到CC办事器,发送受传染系统的默认信息,并领受号令。
专家重视到,Amadey从C2办事器领受三个号令。那些号令用于从外部来源下载和施行歹意软件。两个号令 "cc.ps1 "和 "dd.ps1 "是powerhell形式的LockBits,而第三个号令名为 "LBB.exe "是exe形式的LockBit。
自2022年以来,通过Amadey安拆的Lockbits已经在韩国散布,该团队已经发布了各类阐发讹诈软件的文章。比来确认的版本是LockBit 3.0,它利用工做申请和版权等关键词停止传布。从那些主题来看,似乎进攻的目标是公司。
因为LockBit讹诈软件正在通过各类办法传布,定见用户隆重行事。用户应将他们利用的利用法式和V3更新到最新版本,并制止翻开来自未知来源的文件。
最新披露!三星破绽在设备上安拆歹意利用法式
2022.11.03
400万美圆能够买到全球576个企业收集拜候权限
2022.11.02
英媒:前英国辅弼利兹·特拉斯私家德律风被俄黑客进侵
2022 .11.01