Аналитическая группа ASEC подтвердила, что злоумышленники используют Amadey Bot для установки LockBit. Amadey Bot - вредоносное ПО, впервые обнаруженное в 2018 году, способно похищать информацию и устанавливать дополнительные вредоносные программы, получая команды от злоумышленника. Как и другие штаммы вредоносного ПО, он продается на нелегальных форумах и до сих пор используется различными злоумышленниками.
В прошлом он использовался для установки ransomware злоумышленниками GandCrab или для установки FlawedAmmyy группой TA505, печально известной по Clop ransomware. Недавно он распространялся под видом популярного корейского приложения для обмена сообщениями.
Amadey Bot, вредоносная программа, которая используется для установки LockBit, распространяется двумя способами: один - с помощью вредоносного файла документа Word, а другой - с помощью исполняемого файла, который маскируется под иконку файла Word.
Indicators of Compromise
URLs
- http://188.34.187.110/1234.exe:
- http://188.34.187.110/cc.ps1
- http://188.34.187.110/dd.ps1
- http://188.34.187.110/LBB.exe
- http://188.34.187.110/v5sqpe.dotm:
- http://62.204.41.25/3g4mn5s/index.php
- http://62.204.41.25/3g4mn5s/Plugins/cred.dll
MD5
- 1690f558aa93267b8bcd14c1d5b9ce34
- 56c9c8f181803ece490087ebe053ef72
- 5e54923e6dc9508ae25fb6148d5b2e55
- ad444dcdadfe5ba7901ec58be714cf57
- ae59e82ddd8d9840b79bfddbe4034462
- bf331800dbb46bb32a8ac89e4543cafa
- bf4d4f36c34461c6605b42c456fa4492
- f9ab1c6ad6e788686509d5abedfd1001