Amadey Bot Malware

ransomware Security

Amadey Bot - вредоносная программа, впервые обнаруженная в 2018 году, способна похищать информацию и устанавливать дополнительные вредоносные программы, получая команды от злоумышленника. Как и другие штаммы вредоносного ПО, он продавался на нелегальных форумах и использовался различными злоумышленниками.

Amadey Bot

Amadey в основном использовался для установки ransomware злоумышленниками GandCrab или для установки FlawedAmmyy группой TA505, печально известной по Clop ransomware. Также известно, что Amadey использовали злоумышленники Fallout Exploit Kit и Rig Exploit Kit.Обнаружено, что Amadey устанавливается с помощью SmokeLoader.  В последнее время распространяется благодаря тому, что пользователи скачивают вредоносную программу, замаскированную под крэки программного обеспечения и программы генерации серийных файлов, с веб-сайтов для распространения.

При запуске Amadey ищет антивирусные продукты, установленные на компьютере жертвы. Затем он копирует себя в "C:\ProgramData\44b36f0e13\" как "vnren.exe" и затем выполняет этот файл перед завершением исходного процесса. Имя подпапки "ProgramData" жестко закодировано в двоичном файле и может варьироваться от образца к образцу.

Amadey Bot

Страница входа в систему Amadey C2 в реальном времени

Indicators of Compromise

IPv4

  • 2.59.42.63
  • 185.17.0.52
  • 185.17.0.63

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Amadey Bot.

ID Техника CWE Описание Доверие
1 T1006 CWE-22 Обход имени пути Высокий
2 T1059 CWE-94 Межсайтовый скриптинг Высокий
3 T1059.007 CWE-79, CWE-80 Межсайтовый скриптинг Высокий
SEC-1275-1
Добавить комментарий