专家发现Amadey恶意软件正被摆设LockBit 3.0打单软件

来自AhnLab安全应急相应中心（ASEC）的研究职员陈诉说，研究职员告诫说，Amadey恶意软件正被用来在被攻击的体系上摆设LockBit 3.0打单软件。

据悉，Amadey Bot是一个数据盗取的恶意软件，在2018年初次被发现，它还答应运营商安装额外的有用载荷。该恶意软件可在非法论坛上出售，在已往，它被TA505等网络犯罪团伙用来安装GandCrab打单软件或FlawedAmmyy RAT。

7月，ASEC研究职员发现，Amadey恶意软件是由SmokeLoader分发的，该软件隐蔽在多个网站上的软件破解和序列天生步调中。

"ASEC分析团队已经确认，攻击者正在使用Amadey Bot安装LockBit。"该安全公司发表的陈诉中写道。"Amadey Bot是用来安装LockBit的恶意软件，它通过两种方法传播：一种是使用恶意的Word文档文件，另一种是使用接纳Word文件图标伪装的可实验步调。"

10月尾，研究职员发现Amadey Bot作为一个名为KakaoTalk的韩国著名信使应用步调分发。

研究职员提供了关于近来两个传播案例的细节。

在第一个分发环境中，威胁者使用了一个名为 "Sia_Sim.docx "的恶意Word文件。它下载了一个包罗恶意VBA宏的Word文件，文本主体包罗一个图片，提示用户点击 "启用内容 "以启用VBA宏。

文本体包罗一个图像，提示用户点击 "启用内容 "以启用VBA宏，而VBA宏又运行一个PowerShell下令来下载和运行Amadey。这个恶意的微软Word文档（".docx"）于2022年10月28日被上传到VirusTotal。

在第二个传播案例中，威胁者将Amadey恶意软件伪装成一个带有Word图标的看似无害的文件，但实际上是一个可实验文件（"Resume.exe"）。该文件是通过网络垂纶信息传播的，但现在ASEC还没有确定用作诱饵的电子邮件。

一旦安装，Amadey会注册到任务调治器以得到恒久性。它毗连到C&C服务器，发送受感染体系的默认信息，并吸取下令。

专家注意到，Amadey从C2服务器吸取三个下令。这些下令用于从外部泉源下载和实验恶意软件。两个下令 "cc.ps1 "和 "dd.ps1 "是powerhell情势的LockBits，而第三个下令名为 "LBB.exe "是exe情势的LockBit。

自2022年以来，通过Amadey安装的Lockbits已经在韩国分布，该团队已经发布了各种分析打单软件的文章。近来确认的版本是LockBit 3.0，它使用工作申请和版权等关键词举行传播。从这些主题来看，似乎攻击的目标是公司。

由于LockBit打单软件正在通过各种方法传播，发起用户审慎行事。用户应将他们使用的应用步调和V3更新到最新版本，并克制打开来自未知泉源的文件。

注：本文由E安全编译报道，转载请接洽授权并注明泉源。