黑客利用Amadey Bot传播 LockBit 3.0

• ASEC 分析团队已确认网络犯罪集团正在使用 Amadey Bot 安装 LockBit。
• Amadey Bot 通过两种方法进行分发：恶意 Word 文档文件和使用伪装 Word 文件图标的可执行文件。
• Lockbit勒索软件会感染用户环境中存在的文件，更改桌面并通知用户。

---

AhnLab的 ASEC 分析团队宣布，他们发现黑客使用 Amadey Bot 安装 LockBit。Amadey Bot 于 2018 年被发现，它通过接收攻击者的命令窃取信息并安装额外的恶意软件。与其他流行的恶意软件类似，Amadey Bot 目前在非法论坛上出售，并被各种网络犯罪集团使用。

Word 文档文件

过去，多个网络犯罪集团使用 Amadey Bot 伪装成流行的韩国信使程序。现在，它使用恶意 Word 文档文件和伪装 Word 文件图标的可执行文件进行分发。

名为 Sia_Sim.docx 的文档已上传到 VirusTotal。它在运行时从以下 URL 下载包含恶意 VBA 宏的 Word 文件。文本正文包含提示用户单击“启用内容”以启用 VBA 宏的图像。当用户单击启用内容按钮时，将执行 VAB 宏。它会创建一个 LNK 文件，这是一个运行PowerShell命令以下载和运行 Amadey 的下载器。

在另一种方法中，恶意软件被发现为“Resume.exe”。它也伪装成 Word 文件图标。由压缩程序创建的可执行文件作为电子邮件附件发送。两种方法都使用相同的 C&C 服务器和下载 URL。它将自身复制到 Temp 目录，注册到任务调度程序，并且可以在重新启动后运行。AhnLab 的 ASEC 分析团队表示，

« 自 2022 年以来，通过 Amadey 安装的 Lockbits 已在韩国分发，该团队发布了各种分析勒索软件的文章。最近确认的版本是LockBit 3.0，它使用工作申请和版权等关键字分发。从主题来看，攻击似乎是针对公司的。

Lockbit 勒索软件会感染用户环境中存在的文件，如下所示更改桌面，并通知用户。然后它在每个文件夹中创建赎金记录，说明系统中的所有数据都已被加密和窃取，并威胁用户如果拒绝付款，数据将被解密并在互联网上泄露。»