专家发现Amadey恶意软件正被部署LockBit 3.0勒索软件

来自AhnLab平安应急响应中心（ASEC）的研究人员陈述说，研究人员警告说，Amadey歹意软件正被用来在被进攻的系统上摆设LockBit 3.0讹诈软件。

据悉，Amadey Bot是一个数据窃取的歹意软件，在2018年初次被发现，它还容许运营商安拆额外的有效载荷。该歹意软件可在不法论坛上出卖，在过往，它被TA505等收集立功团伙用来安拆GandCrab讹诈软件或FlawedAmmyy RAT。

7月，ASEC研究人员发现，Amadey歹意软件是由SmokeLoader分发的，该软件隐躲在多个网站上的软件破解和序列生成法式中。

"ASEC阐发团队已经确认，进攻者正在利用Amadey Bot安拆LockBit。 "该平安公司颁发的陈述中写道。"Amadey Bot是用来安拆LockBit的歹意软件，它通过两种办法传布：一种是利用歹意的Word文档文件，另一种是利用摘取Word文件图标假装的可施行法式。"

10月底，研究人员发现Amadey Bot做为一个名为KakaoTalk的韩国闻名信使利用法式分发。

研究人员供给了关于比来两个传布案例的细节。

在第一个分发情状中，威胁者利用了一个名为 "Sia_Sim.docx "的歹意Word文件。它下载了一个包罗歹意VBA宏的Word文件，文本主体包罗一个图片，提醒用户点击 "启用内容 "以启用VBA宏。

文本体包罗一个图像，提醒用户点击 "启用内容 "以启用VBA宏，而VBA宏又运行一个PowerShell号令来下载和运行Amadey。那个歹意的微软Word文档（"심시아.docx"）于2022年10月28日被上传到VirusTotal。

在第二个传布案例中，威胁者将Amadey歹意软件假装成一个带有Word图标的看似无害的文件，但现实上是一个可施行文件（"Resume.exe"）。该文件是通过收集垂钓信息传布的，但目前ASEC还没有确定用做诱饵的电子邮件。

一旦安拆，Amadey会注册到使命调度器以获得耐久性。它毗连到CC办事器，发送受传染系统的默认信息，并领受号令。

专家重视到，Amadey从C2办事器领受三个号令。那些号令用于从外部来源下载和施行歹意软件。两个号令 "cc.ps1 "和 "dd.ps1 "是powerhell形式的LockBits，而第三个号令名为 "LBB.exe "是exe形式的LockBit。

自2022年以来，通过Amadey安拆的Lockbits已经在韩国散布，该团队已经发布了各类阐发讹诈软件的文章。比来确认的版本是LockBit 3.0，它利用工做申请和版权等关键词停止传布。从那些主题来看，似乎进攻的目标是公司。

因为LockBit讹诈软件正在通过各类办法传布，定见用户隆重行事。用户应将他们利用的利用法式和V3更新到最新版本，并制止翻开来自未知来源的文件。

最新披露！三星破绽在设备上安拆歹意利用法式

2022.11.03

400万美圆能够买到全球576个企业收集拜候权限

2022.11.02

英媒：前英国辅弼利兹·特拉斯私家德律风被俄黑客进侵

2022 .11.01