专家发现Amadey恶意软件正被部署LockBit 3.0勒索软件

来自AhnLab安全应急响应中心（ASEC）的研究人员 告说，研究人员警告说，Amadey恶意软件正被用来在被攻击的系统上部署LockBit 3.0勒索软件。

据悉，Amadey Bot是一个数据窃取的恶意软件，在2018年首次被发现，它还允许运营商安装额外的有效载荷。该恶意软件可在非法论坛上出售，在过去，它被TA505等 络犯罪团伙用来安装GandCrab勒索软件或FlawedAmmyy RAT。

7月，ASEC研究人员发现，Amadey恶意软件是由SmokeLoader分发的，该软件隐藏在多个 站上的软件破解和序列生成程序中。

“ASEC分析团队已经确认，攻击者正在使用Amadey Bot安装LockBit。 “该安全公司发表的 告中写道。”Amadey Bot是用来安装LockBit的恶意软件，它通过两种方法传播：一种是使用恶意的Word文档文件，另一种是使用采取Word文件图标伪装的可执行程序。”

10月底，研究人员发现Amadey Bot作为一个名为KakaoTalk的韩国著名信使应用程序分发。

研究人员提供了关于最近两个传播案例的细节。

在第一个分发情况中，威胁者使用了一个名为 “Sia_Sim.docx “的恶意Word文件。它下载了一个包含恶意VBA宏的Word文件，文本主体包括一个图片，提示用户点击 “启用内容 “以启用VBA宏。

文本体包含一个图像，提示用户点击 “启用内容 “以启用VBA宏，而VBA宏又运行一个PowerShell命令来下载和运行Amadey。这个恶意的微软Word文档（”???.docx”）于2022年10月28日被上传到VirusTotal。

在第二个传播案例中，威胁者将Amadey恶意软件伪装成一个带有Word图标的看似无害的文件，但实际上是一个可执行文件（”Resume.exe”）。该文件是通过 络钓鱼信息传播的，但目前ASEC还没有确定用作诱饵的电子邮件。

一旦安装，Amadey会注册到任务调度器以获得持久性。它连接到C&C服务器，发送受感染系统的默认信息，并接收命令。

自2022年以来，通过Amadey安装的Lockbits已经在韩国分布，该团队已经发布了各种分析勒索软件的文章。最近确认的版本是LockBit 3.0，它使用工作申请和版权等关键词进行传播。从这些主题来看，似乎攻击的目标是公司。

最新披露！三星漏洞在设备上安装恶意应用程序

2022.11.03

400万美元可以买到全球576个企业 络访问权限

2022.11.02

英媒：前英国首相利兹·特拉斯私人电话被俄黑客入侵

2022 .11.01