专家发现Amadey恶意软件正被部署LockBit 3.0勒索软件

2周前 (11-20 08:42)阅读1回复0
kewenda
kewenda
  • 管理员
  • 注册排名1
  • 经验值61665
  • 级别管理员
  • 主题12333
  • 回复0
楼主

来自AhnLab平安应急响应中心(ASEC)的研究人员陈述说,研究人员警告说,Amadey歹意软件正被用来在被进攻的系统上摆设LockBit 3.0讹诈软件。

据悉,Amadey Bot是一个数据窃取的歹意软件,在2018年初次被发现,它还允许运营商安拆额外的有效载荷。该歹意软件可在不法论坛上出卖,在过去,它被TA505等收集立功团伙用来安拆GandCrab讹诈软件或FlawedAmmyy RAT。

7月,ASEC研究人员发现,Amadey歹意软件是由SmokeLoader分发的,该软件隐藏在多个网站上的软件破解和序列生成法式中。

"ASEC阐发团队已经确认,进攻者正在利用Amadey Bot安拆LockBit。 "该平安公司颁发的陈述中写道。"Amadey Bot是用来安拆LockBit的歹意软件,它通过两种办法传布:一种是利用歹意的Word文档文件,另一种是利用采纳Word文件图标假装的可施行法式。"

10月底,研究人员发现Amadey Bot做为一个名为KakaoTalk的韩国出名信使应用法式分发。

研究人员供给了关于比来两个传布案例的细节。

在第一个分发情状中,威胁者利用了一个名为 "Sia_Sim.docx "的歹意Word文件。它下载了一个包罗歹意VBA宏的Word文件,文本主体包罗一个图片,提醒用户点击 "启用内容 "以启用VBA宏。

文本体包罗一个图像,提醒用户点击 "启用内容 "以启用VBA宏,而VBA宏又运行一个PowerShell号令来下载和运行Amadey。那个歹意的微软Word文档("심시아.docx")于2022年10月28日被上传到VirusTotal。

在第二个传布案例中,威胁者将Amadey歹意软件假装成一个带有Word图标的看似无害的文件,但现实上是一个可施行文件("Resume.exe")。该文件是通过收集垂钓信息传布的,但目前ASEC还没有确定用做诱饵的电子邮件。

一旦安拆,Amadey会注册到使命调度器以获得耐久性。它毗连到CC办事器,发送受传染系统的默认信息,并领受号令。

专家留意到,Amadey从C2办事器领受三个号令。那些号令用于从外部来源下载和施行歹意软件。两个号令 "cc.ps1 "和 "dd.ps1 "是powerhell形式的LockBits,而第三个号令名为 "LBB.exe "是exe形式的LockBit。

自2022年以来,通过Amadey安拆的Lockbits已经在韩国散布,该团队已经发布了各类阐发讹诈软件的文章。比来确认的版本是LockBit 3.0,它利用工做申请和版权等关键词停止传布。从那些主题来看,似乎进攻的目的是公司。

因为LockBit讹诈软件正在通过各类办法传布,定见用户隆重行事。用户应将他们利用的应用法式和V3更新到最新版本,并制止翻开来自未知来源的文件。

最新披露!三星破绽在设备上安拆歹意应用法式

2022.11.03

400万美圆能够买到全球576个企业收集拜候权限

2022.11.02

英媒:前英国辅弼利兹·特拉斯私家德律风被俄黑客入侵

2022 .11.01

0
回帖

专家发现Amadey恶意软件正被部署LockBit 3.0勒索软件 期待您的回复!

取消
载入表情清单……
载入颜色清单……
插入网络图片

取消确定

图片上传中
编辑器信息
提示信息