Группа анализа ASEC недавно обнаружила, что один из участников угроз использовал DDoS-бота Nitol для установки Amadey. Amadey - это загрузчик, который находится в обращении с 2018 года, и помимо вымогательства учетных данных пользователей, он также может использоваться для установки дополнительного вредоносного ПО.
В этом году Amadey снова активно распространяется, и еще совсем недавно он распространялся на веб-сайтах, маскируясь под кряки и кейгены для обычного ПО, и устанавливал на зараженные системы другое вредоносное ПО.[1] Кроме того, во второй половине этого года Amadey использовался в атаках с участием LockBit 3.0, направленных на корейских корпоративных пользователей. Amadey распространялся в виде вложений в спам-письма и отвечал за установку LockBit Ransomware.[2]
В ходе мониторинга активно распространяющегося бота Amadey аналитическая группа ASEC обнаружила DDoS-бота Nitol, устанавливающего вредоносное ПО Amadey. Nitol - это DDoS-бот с функцией атаки "отказ в обслуживании" (DDoS), и хотя в последнее время его численность снизилась, это вредоносное ПО стабильно используется в атаках с давних времен. Например, в 2021 году был зафиксирован случай, когда она была загружена в архив корейского форума, заразив многих корейских пользователей.
Вредоносная программа Nitol, установившая Amadey, представляет собой тот же файл, что и вредоносная программа, о которой говорилось в вышеприведенной статье блога. Это говорит нам о том, что даже спустя более года он все еще используется в атаках. Этот файл распространяется через торрент, маскируясь под крэки для Hancom и MS Office, и заражает многих пользователей даже в настоящее время. Ниже перечислены имена путей, где был обнаружен Nitol.
Indicators of Compromise
IPv4 Port Combinations
- 45.89.255.250:30303
- 45.89.255.250:40404
- 45.89.255.250:50505
Domain Port Combinations
- rlarnjsdud0502.kro.kr:2222
- gy9.gyddos.com:8889
URLs
- http://45.89.255.250:8080/AnyDesk.exe
- http://45.89.255.250:8080/explorer.exe
- http://45.89.255.250:8080/Kwvwz.png
- http://45.89.255.250:8080/ServiceManager.exe
- http://45.89.255.250:8080/TeamViewer_Desktop.exe
- http://45.89.255.250:8080/TeamViewerSetupx64.exe
- http://AQWe9sfiWSwPyVMJ.xyz/jg94cVd30f/index.php
- http://PMVqdJfUf3WlX9kI.xyz/jg94cVd30f/index.php
- http://SmgqNt3EIxXkSAsU.xyz/jg94cVd30f/index.php
MD5
- 0c9df67f152a727b0832aa4e7f079a71
- 3038c7bb0f593df3f52f0644c894c7ba
- 852011cf885e76c0441dd52fdd280db7
- d332cf184ac8335d2c3581a48ee0ad87
- e79b48eefa43aa34f360f68618992236
- f01b49498b82320973c6006ee117f91e