通过 Amadey Bot 传播 LockBit 3.0
英文原文:https://asec.ahnlab.com/en/41450/ 来自于 ASECASEC 分析团队已确认攻击者正在使用 Amadey Bot 安装 LockBit。Amadey Bot 是 2018 年首次发现的恶意软件,它能够通过接收攻击者的命令来窃取信息并安装其他恶意软件。和其他恶意软件一样,它在非法论坛上出售,仍被各种攻击者使用。
过去,GandCrab 的攻击者使用它安装勒索软件,或者 TA505 集团使用它安装 FlawedAmmyy,后者因 Clop 勒索软件而臭名昭著。最近,它被伪装成流行的韩国信息类的应用程序分发。
用于安装 LockBit 的恶意软件 Amadey Bot 通过两种方法进行分发:一种使用恶意 Word 文档文件,另一种使用伪装成 Word 文件图标的可执行文件。
分发方式 1 - 通过恶意文档分发
以下是一个名为 "Sia_Sim.docx" 的恶意 Word 文档。它已上载到 VirusTotal。作为外部 Word 文件,它在运行时从以下 URL 下载包含恶意 VBA 宏的 Word 文件。
文本正文包含一个图像,提示用户单击 "启用内容" 以启用 VBA 宏。
当用户单击 "启用内容" 时,将执行下载的 VBA 宏 (安装恶意 LNK 文件的宏)。LNK文件在 "C:\Users\Public\skem.LNK" 路径中创建,并通过以下命令执行。
rundll32 url.dll,OpenURL C:\Users\Public\skeml.lnk
LNK 文件是一个下载程序,它运行 powershell 命令来下载和运行 Amadey。
分发方式 2 - 伪装成 Word 文件的可执行文件
还有一种情况是,恶意软件被发现为 "Resume.exe"。攻击中使用的电子邮件尚未得到确认,但该文件以 "Resume.exe" 运行。它还伪装成一个无害的 Word 文件图标,由压缩程序创建。从上面的特征来看,Amadey 似乎是通过电子邮件附件安装的。接下来是 2022 年 10 月 27 日收集的可执行文件。
Amadey Bot
鉴于上述两个 Amadey 使用相同的 C&C 服务器和下载 URL,攻击者似乎以两种方式分发了Amadey Bot。通过上述过程运行的Amadey将自身复制到 Temp 目录中,注册到任务调度程序,并允许它在重新启动后运行。
>"c:\windows\system32\schtasks.exe"/create/sc minute/mo 1/tn-rower。exe/tr"
c:\users[用户名]\appdata\local\temp\0d467a63d9\rovwer.exe”/f
之后,它连接到 C&C 服务器,发送受感染系统的默认信息,并接收命令。之前介绍了 Amadey 的功能和细节,包括恶意软件发送到 C&C 服务器的受感染 PC 的信息类型,以及信息窃取插件。
Amadey 从 C&C 服务器接收到三个命令,都是从外部下载并执行恶意软件的命令。 "cc.ps1" 和 "dd.ps1" 是 powershell 形式的 LockBit,"LBB.exe" 是 exe 形式的 LockBit。它们都是在 C&C 服务器响应中显示的目录名称中创建的。
[*]%TEMP%\1000018041\dd.ps1
[*]%TEMP%\1000019041\cc.ps1
[*]%TEMP%\1000020001\LBB.exe
LockBit 3.0
下载完成后,恶意软件会运行 LockBit。powershell 文件最初是经过混淆处理的,并且被构造为在内存中未混淆处理后执行。
如果 Amadey 下载的文件是 powershell 形式,则使用以下命令。
> "c:\windows\system32\windowspowershell\v1.0\powershell.exe" -executionpolicy remotesigned -file
"c:\users\appdata\local\temp\1000018041\dd.ps1"
自 2022 年以来,通过 Amadey 安装的 Lockbits 已在韩国分发,该团队发布了各种分析勒索软件的文章。最近确认的版本是 LockBit 3.0,它使用工作申请和版权等关键字分发。从主题来看,攻击似乎是针对公司的。
[*]LockBit Ransomware Being Distributed Using Resume and Copyright-related Emails (Posted in February 2022)
[*]LockBit Ransomware Disguised as Copyright Claim E-mail Being Distributed (Posted in June 2022)
[*]NSIS Type LockBit 3.0 Ransomware Disguised as Job Application Emails Being Distributed (Posted in September 2022)
[*]LockBit 3.0 Ransomware Distributed via Word Documents (Posted in September 2022)
Lockbit 勒索软件会感染用户环境中存在的文件,如下所示更改桌面,并通知用户。然后它在每个文件夹中创建赎金记录,说明系统中的所有数据都已被加密和窃取,并威胁用户如果拒绝付款,数据将被解密并在互联网上泄露。
由于 LockBit 勒索软件正在通过各种方法分发,因此建议用户谨慎使用。用户应将他们使用的应用程序和 V3 更新到最新版本,并避免打开来自未知来源的文档文件。
IoC
MD5
[*]13b12238e3a44bcdf89a7686e7179e16: Malicious Word Document (Sia_Sim.docx)
[*]ae59e82ddd8d9840b79bfddbe4034462: Downloaded malicious VBA macro (v5sqpe.dotm)
[*]bf4d4f36c34461c6605b42c456fa4492: Downloader LNK (skeml.lnk)
[*]56c9c8f181803ece490087ebe053ef72: Amadey (1234.exe)
[*]bf331800dbb46bb32a8ac89e4543cafa: Amadey (Resume.exe)
[*]ad444dcdadfe5ba7901ec58be714cf57: Amadey Stealer Plugin (cred.dll)
[*]f9ab1c6ad6e788686509d5abedfd1001: LockBit (cc.ps1)
[*]1690f558aa93267b8bcd14c1d5b9ce34: LockBit (dd.ps1)
[*]5e54923e6dc9508ae25fb6148d5b2e55: LockBit (LBB.exe)
C&C and Download
[*]hxxp://188.34.187[.]110/v5sqpe.dotm: External URL
[*]hxxp://188.34.187[.]110/1234.exe: Amadey Download URL
[*]hxxp://62.204.41[.]25/3g4mn5s/index.php : Amadey C&C
[*]hxxp://62.204.41[.]25/3g4mn5s/Plugins/cred.dll : Amadey Stealer Plugin Download
[*]hxxp://188.34.187[.]110/dd.ps1 : LockBit
[*]hxxp://188.34.187[.]110/cc.ps1 : LockBit
[*]hxxp://188.34.187[.]110/LBB.exe : LockBit
页:
[1]