专家发现Amadey恶意软件正被部署LockBit 3.0勒索软件

来自AhnLab安全应急响应中心（ASEC）的研究人员报告说，研究人员警告说，Amadey恶意软件正被用来在被攻击的系统上部署LockBit 3.0勒索软件。

据悉，Amadey Bot是一个数据窃取的恶意软件，在2018年首次被发现，它还允许运营商安装额外的有效载荷。该恶意软件可在非法论坛上出售，在过去，它被TA505等网络犯罪团伙用来安装GandCrab勒索软件或FlawedAmmyy RAT。

7月，ASEC研究人员发现，Amadey恶意软件是由SmokeLoader分发的，该软件隐藏在多个网站上的软件破解和序列生成程序中。

"ASEC分析团队已经确认，攻击者正在使用Amadey Bot安装LockBit。  "该安全公司发表的报告中写道。"Amadey Bot是用来安装LockBit的恶意软件，它通过两种方法传播：一种是使用恶意的Word文档文件，另一种是使用采取Word文件图标伪装的可执行程序。"

10月底，研究人员发现Amadey Bot作为一个名为KakaoTalk的韩国著名信使应用程序分发。

研究人员提供了关于最近两个传播案例的细节。

在第一个分发情况中，威胁者使用了一个名为 "Sia_Sim.docx "的恶意Word文件。它下载了一个包含恶意VBA宏的Word文件，文本主体包括一个图片，提示用户点击 "启用内容 "以启用VBA宏。

文本体包含一个图像，提示用户点击 "启用内容 "以启用VBA宏，而VBA宏又运行一个PowerShell命令来下载和运行Amadey。这个恶意的微软Word文档（"심시아.docx"）于2022年10月28日被上传到VirusTotal。

在第二个传播案例中，威胁者将Amadey恶意软件伪装成一个带有Word图标的看似无害的文件，但实际上是一个可执行文件（"Resume.exe"）。该文件是通过网络钓鱼信息传播的，但目前ASEC还没有确定用作诱饵的电子邮件。

一旦安装，Amadey会注册到任务调度器以获得持久性。它连接到C&C服务器，发送受感染系统的默认信息，并接收命令。

专家注意到，Amadey从C2服务器接收三个命令。这些命令用于从外部来源下载和执行恶意软件。两个命令 "cc.ps1 "和 "dd.ps1 "是powerhell形式的LockBits，而第三个命令名为 "LBB.exe "是exe形式的LockBit。

自2022年以来，通过Amadey安装的Lockbits已经在韩国分布，该团队已经发布了各种分析勒索软件的文章。最近确认的版本是LockBit 3.0，它使用工作申请和版权等关键词进行传播。从这些主题来看，似乎攻击的目标是公司。

由于LockBit勒索软件正在通过各种方法传播，建议用户谨慎行事。用户应将他们使用的应用程序和V3更新到最新版本，并避免打开来自未知来源的文件。