最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

黑客利用Amadey Bot传播 LockBit 3.0

网络安全 快米云 来源:快米云 77浏览

黑客利用 Amadey Bot 传播 LockBit 3.0

  • ASEC 分析团队已确认网络犯罪集团正在使用 Amadey Bot 安装 LockBit。
  • Amadey Bot 通过两种方法进行分发:恶意 Word 文档文件和使用伪装 Word 文件图标的可执行文件。
  • Lockbit勒索软件会感染用户环境中存在的文件,更改桌面并通知用户。

AhnLab的 ASEC 分析团队宣布,他们发现黑客使用 Amadey Bot 安装 LockBit。Amadey Bot 于 2018 年被发现,它通过接收攻击者的命令窃取信息并安装额外的恶意软件。与其他流行的恶意软件类似,Amadey Bot 目前在非法论坛上出售,并被各种网络犯罪集团使用。

Word 文档文件

过去,多个网络犯罪集团使用 Amadey Bot 伪装成流行的韩国信使程序。现在,它使用恶意 Word 文档文件和伪装 Word 文件图标的可执行文件进行分发。

名为 Sia_Sim.docx 的文档已上传到 VirusTotal。它在运行时从以下 URL 下载包含恶意 VBA 宏的 Word 文件。文本正文包含提示用户单击“启用内容”以启用 VBA 宏的图像。当用户单击启用内容按钮时,将执行 VAB 宏。它会创建一个 LNK 文件,这是一个运行PowerShell命令以下载和运行 Amadey 的下载器。

在另一种方法中,恶意软件被发现为“Resume.exe”。它也伪装成 Word 文件图标。由压缩程序创建的可执行文件作为电子邮件附件发送。两种方法都使用相同的 C&C 服务器和下载 URL。它将自身复制到 Temp 目录,注册到任务调度程序,并且可以在重新启动后运行。AhnLab 的 ASEC 分析团队表示,

« 自 2022 年以来,通过 Amadey 安装的 Lockbits 已在韩国分发,该团队发布了各种分析勒索软件的文章。最近确认的版本是LockBit 3.0,它使用工作申请和版权等关键字分发。从主题来看,攻击似乎是针对公司的。

Lockbit 勒索软件会感染用户环境中存在的文件,如下所示更改桌面,并通知用户。然后它在每个文件夹中创建赎金记录,说明系统中的所有数据都已被加密和窃取,并威胁用户如果拒绝付款,数据将被解密并在互联网上泄露。»

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客利用Amadey Bot传播 LockBit 3.0