Группа анализа ASEC недавно зафиксировала новую волну кибератак, в которой злоумышленники используют связку двух вредоносных программ - DDoS-бота Nitol и загрузчика Amadey. Последний известен с 2018 года и продолжает активно использоваться для кражи учетных данных, а также для доставки дополнительного вредоносного ПО.
Описание
В текущем году Amadey распространялся через поддельные кряки и кейгены, маскируясь под легальное программное обеспечение, что привело к заражению множества систем. Более того, во второй половине года этот загрузчик был замешан в атаках с участием LockBit 3.0, направленных на корпоративных пользователей в Южной Корее. В этих инцидентах вредоносное ПО распространялось через спам-письма с вредоносными вложениями, что в итоге приводило к установке шифровальщика LockBit.
Особую тревогу вызывает факт, что для распространения Amadey злоумышленники вновь активизировали DDoS-бота Nitol. Этот бот, известный своими возможностями организации распределенных атак типа «отказ в обслуживании», хотя и терял активность в последние годы, продолжает использоваться в киберпреступлениях. Например, в 2021 году Nitol проник на корейские форумы через зараженные архивы, что привело к массовому заражению пользователей. Сейчас аналитики ASEC обнаружили, что тот же самый вариант Nitol, о котором сообщалось ранее, снова используется в атаках.
Распространение Nitol происходит через торрент-трекеры, где вредоносный файл маскируется под кряки для популярных офисных программ, таких как Hancom и Microsoft Office. Несмотря на давнюю известность этой угрозы, пользователи продолжают попадаться на удочку злоумышленников, загружая и запуская вредоносные файлы. После проникновения в систему Nitol не только выполняет DDoS-атаки, но и загружает Amadey, который, в свою очередь, открывает путь для более опасных угроз, включая ransomware и шпионские программы.
Эксперты по безопасности подчеркивают, что подобные атаки демонстрируют важность соблюдения базовых правил кибергигиены. Пользователям следует избегать скачивания программного обеспечения с сомнительных источников, особенно если оно позиционируется как «взломанное» или «бесплатное». Корпоративным клиентам рекомендуется усилить защиту электронной почты, внедрять системы обнаружения вторжений и регулярно обновлять антивирусное ПО.
Текущая ситуация также свидетельствует о том, что даже старые угрозы могут возрождаться в новых атаках, особенно если они интегрируются с более современными вредоносными инструментами. Злоумышленники постоянно ищут уязвимости в поведении пользователей и слабые места в защите, что делает кибербезопасность непрерывной гонкой вооружений. В данном случае комбинация Nitol и Amadey показывает, насколько важно не только следить за новыми угрозами, но и помнить о старых, которые могут быть адаптированы для новых атак.
Таким образом, инцидент с Nitol и Amadey служит очередным напоминанием о необходимости повышенной бдительности как для обычных пользователей, так и для организаций. Без должного внимания к безопасности даже относительно простые вредоносные программы могут стать началом масштабной кибератаки с серьезными последствиями.
Индикаторы компрометации
IPv4 Port Combinations
- 45.89.255.250:30303
- 45.89.255.250:40404
- 45.89.255.250:50505
Domain Port Combinations
- rlarnjsdud0502.kro.kr:2222
- gy9.gyddos.com:8889
URLs
- http://45.89.255.250:8080/AnyDesk.exe
- http://45.89.255.250:8080/explorer.exe
- http://45.89.255.250:8080/Kwvwz.png
- http://45.89.255.250:8080/ServiceManager.exe
- http://45.89.255.250:8080/TeamViewer_Desktop.exe
- http://45.89.255.250:8080/TeamViewerSetupx64.exe
- http://AQWe9sfiWSwPyVMJ.xyz/jg94cVd30f/index.php
- http://PMVqdJfUf3WlX9kI.xyz/jg94cVd30f/index.php
- http://SmgqNt3EIxXkSAsU.xyz/jg94cVd30f/index.php
MD5
- 0c9df67f152a727b0832aa4e7f079a71
- 3038c7bb0f593df3f52f0644c894c7ba
- 852011cf885e76c0441dd52fdd280db7
- d332cf184ac8335d2c3581a48ee0ad87
- e79b48eefa43aa34f360f68618992236
- f01b49498b82320973c6006ee117f91e
