DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 5296|回复: 0

[样本分析] 通过 Amadey Bot 传播 LockBit 3.0

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2022-11-11 10:37:00 | 显示全部楼层 |阅读模式
英文原文:https://asec.ahnlab.com/en/41450/ 来自于 ASEC

ASEC 分析团队已确认攻击者正在使用 Amadey Bot 安装 LockBit。Amadey Bot 是 2018 年首次发现的恶意软件,它能够通过接收攻击者的命令来窃取信息并安装其他恶意软件。和其他恶意软件一样,它在非法论坛上出售,仍被各种攻击者使用。

过去,GandCrab 的攻击者使用它安装勒索软件,或者 TA505 集团使用它安装 FlawedAmmyy,后者因 Clop 勒索软件而臭名昭著。最近,它被伪装成流行的韩国信息类的应用程序分发。

用于安装 LockBit 的恶意软件 Amadey Bot 通过两种方法进行分发:一种使用恶意 Word 文档文件,另一种使用伪装成 Word 文件图标的可执行文件。

分发方式 1 - 通过恶意文档分发


以下是一个名为 "Sia_Sim.docx" 的恶意 Word 文档。它已上载到 VirusTotal。作为外部 Word 文件,它在运行时从以下 URL 下载包含恶意 VBA 宏的 Word 文件。



文本正文包含一个图像,提示用户单击 "启用内容" 以启用 VBA 宏。



当用户单击 "启用内容" 时,将执行下载的 VBA 宏 (安装恶意 LNK 文件的宏)。LNK文件在 "C:\Users\Public\skem.LNK" 路径中创建,并通过以下命令执行。

  1. rundll32 url.dll,OpenURL C:\Users\Public\skeml.lnk
复制代码



LNK 文件是一个下载程序,它运行 powershell 命令来下载和运行 Amadey。



分发方式 2 - 伪装成 Word 文件的可执行文件


还有一种情况是,恶意软件被发现为 "Resume.exe"。攻击中使用的电子邮件尚未得到确认,但该文件以 "Resume.exe" 运行。它还伪装成一个无害的 Word 文件图标,由压缩程序创建。从上面的特征来看,Amadey 似乎是通过电子邮件附件安装的。接下来是 2022 年 10 月 27 日收集的可执行文件。



Amadey Bot


鉴于上述两个 Amadey 使用相同的 C&C 服务器和下载 URL,攻击者似乎以两种方式分发了Amadey Bot。通过上述过程运行的Amadey将自身复制到 Temp 目录中,注册到任务调度程序,并允许它在重新启动后运行。

  1. >"c:\windows\system32\schtasks.exe"/create/sc minute/mo 1/tn-rower。exe/tr"
  2. c:\users[用户名]\appdata\local\temp\0d467a63d9\rovwer.exe”/f
复制代码

之后,它连接到 C&C 服务器,发送受感染系统的默认信息,并接收命令。之前介绍了 Amadey 的功能和细节,包括恶意软件发送到 C&C 服务器的受感染 PC 的信息类型,以及信息窃取插件。





Amadey 从 C&C 服务器接收到三个命令,都是从外部下载并执行恶意软件的命令。 "cc.ps1" 和 "dd.ps1" 是 powershell 形式的 LockBit,"LBB.exe" 是 exe 形式的 LockBit。它们都是在 C&C 服务器响应中显示的目录名称中创建的。

  • %TEMP%\1000018041\dd.ps1
  • %TEMP%\1000019041\cc.ps1
  • %TEMP%\1000020001\LBB.exe

LockBit 3.0


下载完成后,恶意软件会运行 LockBit。powershell 文件最初是经过混淆处理的,并且被构造为在内存中未混淆处理后执行。



如果 Amadey 下载的文件是 powershell 形式,则使用以下命令。

  1. > "c:\windows\system32\windowspowershell\v1.0\powershell.exe" -executionpolicy remotesigned -file
  2. "c:\users[username]\appdata\local\temp\1000018041\dd.ps1"
复制代码

自 2022 年以来,通过 Amadey 安装的 Lockbits 已在韩国分发,该团队发布了各种分析勒索软件的文章。最近确认的版本是 LockBit 3.0,它使用工作申请和版权等关键字分发。从主题来看,攻击似乎是针对公司的。


Lockbit 勒索软件会感染用户环境中存在的文件,如下所示更改桌面,并通知用户。然后它在每个文件夹中创建赎金记录,说明系统中的所有数据都已被加密和窃取,并威胁用户如果拒绝付款,数据将被解密并在互联网上泄露。





由于 LockBit 勒索软件正在通过各种方法分发,因此建议用户谨慎使用。用户应将他们使用的应用程序和 V3 更新到最新版本,并避免打开来自未知来源的文档文件。

IoC


MD5

  • 13b12238e3a44bcdf89a7686e7179e16: Malicious Word Document (Sia_Sim.docx)
  • ae59e82ddd8d9840b79bfddbe4034462: Downloaded malicious VBA macro (v5sqpe.dotm)
  • bf4d4f36c34461c6605b42c456fa4492: Downloader LNK (skeml.lnk)
  • 56c9c8f181803ece490087ebe053ef72: Amadey (1234.exe)
  • bf331800dbb46bb32a8ac89e4543cafa: Amadey (Resume.exe)
  • ad444dcdadfe5ba7901ec58be714cf57: Amadey Stealer Plugin (cred.dll)
  • f9ab1c6ad6e788686509d5abedfd1001: LockBit (cc.ps1)
  • 1690f558aa93267b8bcd14c1d5b9ce34: LockBit (dd.ps1)
  • 5e54923e6dc9508ae25fb6148d5b2e55: LockBit (LBB.exe)

C&C and Download

  • hxxp://188.34.187[.]110/v5sqpe.dotm: External URL
  • hxxp://188.34.187[.]110/1234.exe: Amadey Download URL
  • hxxp://62.204.41[.]25/3g4mn5s/index.php : Amadey C&C
  • hxxp://62.204.41[.]25/3g4mn5s/Plugins/cred.dll : Amadey Stealer Plugin Download
  • hxxp://188.34.187[.]110/dd.ps1 : LockBit
  • hxxp://188.34.187[.]110/cc.ps1 : LockBit
  • hxxp://188.34.187[.]110/LBB.exe : LockBit

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 15:23 , Processed in 0.063013 second(s), 25 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表