專家發現Amadey惡意軟件正被部署LockBit 3.0勒索軟件

來自AhnLab安全應急響應中心（ASEC）的研究人員報告說，研究人員警告說，Amadey惡意軟件正被用來在被攻擊的系統上部署LockBit 3.0勒索軟件。

據悉，Amadey Bot是一個數據竊取的惡意軟件，在2018年首次被發現，它還允許運營商安裝額外的有效載荷。該惡意軟件可在非法論壇上出售，在過去，它被TA505等網絡犯罪團伙用來安裝GandCrab勒索軟件或FlawedAmmyy RAT。

7月，ASEC研究人員發現，Amadey惡意軟件是由SmokeLoader分發的，該軟件隱藏在多個網站上的軟件破解和序列生成程序中。

"ASEC分析團隊已經確認，攻擊者正在使用Amadey Bot安裝LockBit。  "該安全公司發表的報告中寫道。"Amadey Bot是用來安裝LockBit的惡意軟件，它通過兩種方法傳播：一種是使用惡意的Word文檔文件，另一種是使用采取Word文件圖標偽裝的可執行程序。"

10月底，研究人員發現Amadey Bot作為一個名為KakaoTalk的韓國著名信使應用程序分發。

研究人員提供了關于最近兩個傳播案例的細節。

在第一個分發情況中，威脅者使用了一個名為 "Sia_Sim.docx "的惡意Word文件。它下載了一個包含惡意VBA宏的Word文件，文本主體包括一個圖片，提示用戶點擊 "啟用內容 "以啟用VBA宏。

文本體包含一個圖像，提示用戶點擊 "啟用內容 "以啟用VBA宏，而VBA宏又運行一個PowerShell命令來下載和運行Amadey。這個惡意的微軟Word文檔（"???.docx"）于2022年10月28日被上傳到VirusTotal。

在第二個傳播案例中，威脅者將Amadey惡意軟件偽裝成一個帶有Word圖標的看似無害的文件，但實際上是一個可執行文件（"Resume.exe"）。該文件是通過網絡釣魚信息傳播的，但目前ASEC還沒有確定用作誘餌的電子郵件。

一旦安裝，Amadey會注冊到任務調度器以獲得持久性。它連接到C&C服務器，發送受感染系統的默認信息，并接收命令。

專家注意到，Amadey從C2服務器接收三個命令。這些命令用于從外部來源下載和執行惡意軟件。兩個命令 "cc.ps1 "和 "dd.ps1 "是powerhell形式的LockBits，而第三個命令名為 "LBB.exe "是exe形式的LockBit。

自2022年以來，通過Amadey安裝的Lockbits已經在韓國分布，該團隊已經發布了各種分析勒索軟件的文章。最近確認的版本是LockBit 3.0，它使用工作申請和版權等關鍵詞進行傳播。從這些主題來看，似乎攻擊的目標是公司。

由于LockBit勒索軟件正在通過各種方法傳播，建議用戶謹慎行事。用戶應將他們使用的應用程序和V3更新到最新版本，并避免打開來自未知來源的文件。