通过 Amadey Bot 传播 LockBit 3.0

吉沃运营专员

英文原文：https://asec.ahnlab.com/en/41450/ 来自于 ASEC

ASEC 分析团队已确认攻击者正在使用 Amadey Bot 安装 LockBit。Amadey Bot 是 2018 年首次发现的恶意软件，它能够通过接收攻击者的命令来窃取信息并安装其他恶意软件。和其他恶意软件一样，它在非法论坛上出售，仍被各种攻击者使用。

过去，GandCrab 的攻击者使用它安装勒索软件，或者 TA505 集团使用它安装 FlawedAmmyy，后者因 Clop 勒索软件而臭名昭著。最近，它被伪装成流行的韩国信息类的应用程序分发。

用于安装 LockBit 的恶意软件 Amadey Bot 通过两种方法进行分发：一种使用恶意 Word 文档文件，另一种使用伪装成 Word 文件图标的可执行文件。

分发方式 1 - 通过恶意文档分发

以下是一个名为 "Sia_Sim.docx" 的恶意 Word 文档。它已上载到 VirusTotal。作为外部 Word 文件，它在运行时从以下 URL 下载包含恶意 VBA 宏的 Word 文件。



文本正文包含一个图像，提示用户单击 "启用内容" 以启用 VBA 宏。



当用户单击 "启用内容" 时，将执行下载的 VBA 宏 (安装恶意 LNK 文件的宏)。LNK文件在 "C:\Users\Public\skem.LNK" 路径中创建，并通过以下命令执行。

1. rundll32 url.dll,OpenURL C:\Users\Public\skeml.lnk

复制代码

LNK 文件是一个下载程序，它运行 powershell 命令来下载和运行 Amadey。

分发方式 2 - 伪装成 Word 文件的可执行文件

还有一种情况是，恶意软件被发现为 "Resume.exe"。攻击中使用的电子邮件尚未得到确认，但该文件以 "Resume.exe" 运行。它还伪装成一个无害的 Word 文件图标，由压缩程序创建。从上面的特征来看，Amadey 似乎是通过电子邮件附件安装的。接下来是 2022 年 10 月 27 日收集的可执行文件。

Amadey Bot

鉴于上述两个 Amadey 使用相同的 C&C 服务器和下载 URL，攻击者似乎以两种方式分发了Amadey Bot。通过上述过程运行的Amadey将自身复制到 Temp 目录中，注册到任务调度程序，并允许它在重新启动后运行。

1. >"c:\windows\system32\schtasks.exe"/create/sc minute/mo 1/tn-rower。exe/tr"
   
2. c:\users[用户名]\appdata\local\temp\0d467a63d9\rovwer.exe”/f

复制代码

之后，它连接到 C&C 服务器，发送受感染系统的默认信息，并接收命令。之前介绍了 Amadey 的功能和细节，包括恶意软件发送到 C&C 服务器的受感染 PC 的信息类型，以及信息窃取插件。





Amadey 从 C&C 服务器接收到三个命令，都是从外部下载并执行恶意软件的命令。 "cc.ps1" 和 "dd.ps1" 是 powershell 形式的 LockBit，"LBB.exe" 是 exe 形式的 LockBit。它们都是在 C&C 服务器响应中显示的目录名称中创建的。

• %TEMP%\1000018041\dd.ps1
• %TEMP%\1000019041\cc.ps1
• %TEMP%\1000020001\LBB.exe
  

LockBit 3.0

下载完成后，恶意软件会运行 LockBit。powershell 文件最初是经过混淆处理的，并且被构造为在内存中未混淆处理后执行。



如果 Amadey 下载的文件是 powershell 形式，则使用以下命令。

1. > "c:\windows\system32\windowspowershell\v1.0\powershell.exe" -executionpolicy remotesigned -file
   
2. "c:\users[username]\appdata\local\temp\1000018041\dd.ps1"

复制代码

自 2022 年以来，通过 Amadey 安装的 Lockbits 已在韩国分发，该团队发布了各种分析勒索软件的文章。最近确认的版本是 LockBit 3.0，它使用工作申请和版权等关键字分发。从主题来看，攻击似乎是针对公司的。

• LockBit Ransomware Being Distributed Using Resume and Copyright-related Emails (Posted in February 2022)
• LockBit Ransomware Disguised as Copyright Claim E-mail Being Distributed (Posted in June 2022)
• NSIS Type LockBit 3.0 Ransomware Disguised as Job Application Emails Being Distributed (Posted in September 2022)
• LockBit 3.0 Ransomware Distributed via Word Documents (Posted in September 2022)
  

Lockbit 勒索软件会感染用户环境中存在的文件，如下所示更改桌面，并通知用户。然后它在每个文件夹中创建赎金记录，说明系统中的所有数据都已被加密和窃取，并威胁用户如果拒绝付款，数据将被解密并在互联网上泄露。





由于 LockBit 勒索软件正在通过各种方法分发，因此建议用户谨慎使用。用户应将他们使用的应用程序和 V3 更新到最新版本，并避免打开来自未知来源的文档文件。

IoC

MD5

• 13b12238e3a44bcdf89a7686e7179e16: Malicious Word Document (Sia_Sim.docx)
• ae59e82ddd8d9840b79bfddbe4034462: Downloaded malicious VBA macro (v5sqpe.dotm)
• bf4d4f36c34461c6605b42c456fa4492: Downloader LNK (skeml.lnk)
• 56c9c8f181803ece490087ebe053ef72: Amadey (1234.exe)
• bf331800dbb46bb32a8ac89e4543cafa: Amadey (Resume.exe)
• ad444dcdadfe5ba7901ec58be714cf57: Amadey Stealer Plugin (cred.dll)
• f9ab1c6ad6e788686509d5abedfd1001: LockBit (cc.ps1)
• 1690f558aa93267b8bcd14c1d5b9ce34: LockBit (dd.ps1)
• 5e54923e6dc9508ae25fb6148d5b2e55: LockBit (LBB.exe)
  

C&C and Download

• hxxp://188.34.187[.]110/v5sqpe.dotm: External URL
• hxxp://188.34.187[.]110/1234.exe: Amadey Download URL
• hxxp://62.204.41[.]25/3g4mn5s/index.php : Amadey C&C
• hxxp://62.204.41[.]25/3g4mn5s/Plugins/cred.dll : Amadey Stealer Plugin Download
• hxxp://188.34.187[.]110/dd.ps1 : LockBit
• hxxp://188.34.187[.]110/cc.ps1 : LockBit
• hxxp://188.34.187[.]110/LBB.exe : LockBit