◾️ 事件概述
韓國的資安研究組織 AhnLab 近期發表了針對 Lockbit 攻擊者的研究報告:攻擊者透過釣魚信件,誘使使用者下載名為 Amadey Bot 的惡意軟體,近而透過 Amadey Bot 對使用者的設備安裝 Lockbit。Amadey Bot 在2018年首次被發現,功能上可以受攻擊者操控竊取使用者的資料、下載或執行惡意程式。
◾️ 攻擊概述
Step 1. 釣魚信件
惡意攻擊者利用「工作申請」、「著作權」等詞彙包裝信件,並用以下兩種方式誘使使用者下載 Amadey Bot 的惡意軟體。
惡意的 Word 文件:通常以人名當作 word 文件的檔案名稱,內部含有惡意的 VBA 巨集。一旦受害者點擊了Word文件中的「允許編輯」按鍵,一個惡意的 LNK 檔案就會被下載和執行,以利於後續下載和執行惡意程式 Amadey Bot 。
冒充為 word 履歷的執行檔 resume.exe:此惡意程式執行檔冒用 word 的 icon,並以履歷的檔名命名,誘使受害者點擊檔案,使惡意程式 Amadey Bot 被成功下載。
Step 2. Amadey Bot 完成下載與執行
無論是透過上述的何種方式進行下載,兩種惡意程式 Amadey Bot 的下載來源都是相同的外部URL。它們將惡意程式 Amadey Bot 下載到系統內部的 temp 資料路徑中,並註冊為工作安排的一部份 (task schedular),使 Amadey Bot 就算在受害者重新開機之後,仍然可以繼續運作。
透過惡意程式 Amadey Bot,受害者的設備被連接到駭客設定的 c&c 伺服器,對於受害者設備的系統進行掃描並將資訊傳送給攻擊方。之外,透過該伺服器,攻擊者也可以傳送指令至受害的設備中,使攻擊者可以在受害者的電腦中下載資料竊取的 Lockbit 執行檔 (cc.ps1/ dd.ps1 或是 LBB.exe)。
Step 3. LockBit 3.0
在透過 Amadey Bot 載入隱藏的 Powershell 代碼之後,此代碼會自動解開此混淆隱藏的Powershell 代碼並執行。這會使受害者的桌面被替換成資料被竊取的警示圖片,受害者電腦中的文件會被全部加密,並附上勒索的恐嚇訊息,迫使受害者支付贖金以取得解密的金鑰,或是避免資料的遺失和外流。
參考資料
Lockbit affiliate uses amadey bot malware to deploy ransomware, bleepingcomputer (Nov 8, 2022)-https://www.bleepingcomputer.com/news/security/lockbit-affiliate-uses-amadey-bot-malware-to-deploy-ransomware/
Lockbit 3.0 Being distributed via Amadey Bot, ASEC.ahnlab (Nov 8, 2022)
https://asec.ahnlab.com/en/41450/