Amadey Bot发现在黑客机器上部署LockBit 3.0勒索软件

研究人员警告称，Amadey恶意软件正被用于在受损系统上部署LockBit 3.0勒索软件。

AhnLab安全应急响应中心（ASEC）在今天发布的一份新报告中表示：“Amadey bot是一种用于安装LockBit的恶意软件，它通过两种方法分发：一种使用恶意Word文档文件，另一种使用伪装Word文件图标的可执行文件”。

Amadey于2018年首次被发现，是黑莓研究和情报团队所描述的“犯罪对犯罪（C2C）僵尸网络信息窃取者项目”，在犯罪地下网络上购买的价格高达600美元。

虽然它的主要功能是从受感染的主机中获取敏感信息，但它进一步充当了传递下一阶段工件的通道。今年7月早些时候，它是使用SmokeLoader传播的，这是一种与自身功能没有太大区别的恶意软件。

就在上个月，ASEC还发现了以韩国流行的即时通讯服务KakaoTalk为伪装分发的恶意软件，作为钓鱼活动的一部分。

这家网络安全公司的最新分析基于Microsoft Word文件（“심시아.docx“），于2022年10月28日上传至VirusTotal。该文档包含一个恶意VBA宏，当受害者启用该宏时，会运行PowerShell命令下载并运行Amadey。

在另一种攻击链中，Amadey伪装成一个看似无害的文件，带有Word图标，但实际上是一个通过网络钓鱼消息传播的可执行文件（“Resume.exe”）。ASEC表示，他们无法识别用作诱饵的电子邮件。

成功执行Amadey后，恶意软件从远程服务器获取并启动其他命令，其中包括PowerShell（.ps1）或二进制（.exe）格式的LockBit勒索软件。

LockBit 3.0（也称为LockBit Black）于2022年6月推出，同时推出了一个新的暗网门户网站和第一个勒索软件漏洞赏金计划，承诺在其网站和软件中发现漏洞将获得高达100万美元的奖励。

研究人员总结道：“由于LockBit勒索软件正在通过各种方法分发，建议用户谨慎使用”。