Amadey Bot’un, saldırganlar tarafından kötü niyetli MS Word belge dosyalarının yardımıyla LockBit 3.0’ı yüklemek için kullanıldığı ve sonunda fidye yazılımı türünü bıraktığı tespit edildi.
2018 yılında Amadey Bot’un internete yayıldığı keşfedildi. Bilgi çalmaya ek olarak, bu kötü amaçlı yazılım, hedeflenen sistemlere ek kötü amaçlı yazılım yükleme yeteneğine sahiptir.
Bu infazlar kapsamında, eylemlerin gerçekleştirilmesi için saldırgandan komutlar alındı. Çeşitli saldırganlar, yasa dışı forumlarda satılan ve yayılmaya devam eden diğer kötü amaçlı yazılım türleri gibi bu kötü amaçlı yazılım türünü kullanmaya devam ediyor.
Kilit Biti 3.0
İş başvurusu teklifleri veya telif hakkı ihlali bildirimleri gibi görünen kimlik avı e-postaları, tehdit aktörü tarafından kurban şirketleri hedef almak için kullanılır.
Bu saldırıda LockBit 3.0 yükünün bir parçası olarak bir PowerShell komut dosyası veya yürütülebilir dosya indirilir. Ahnlab’daki Araştırmacılar, bir kez yapıldığında, daha sonra ana bilgisayardaki tehdit aktörlerinin dosyaları şifrelemek için birlikte çalıştırdığını söyledi.
Başlangıçta, Powershell dosyaları belirsizdir ve daha sonra bellekte karartıldıktan sonra dosyalar yürütülecek şekilde yapılandırılır. 2022’den beri Kore’de Lockbits, Amadey botnet aracılığıyla indirilen tehdit aktörleri tarafından dağıtılmaktadır.
Amadey botnet tarafından indirilen Powershell form dosyasını çalıştırmak için aşağıdaki komutun kullanılması gerekmektedir.
- > “c:\windows\system32\windowspowershell\v1.0\powershell.exe” -executionpolicy remotesigned -file “c:\users[username]\appdata\local\temp\1000018041\dd.ps1”
Lockbit fidye yazılımının kullanıcının masaüstünü sararak devre dışı bıraktığına ve ardından kullanıcının virüslü masaüstü ortamında bulunan dosyalara bulaştığına ve değişikliği kullanıcıya bildirdiğine inanılıyor.
Daha sonra, her klasörde aşağıdaki bilgileri içeren bir fidye notu oluşturulur: –
Enfeksiyon zinciri
Araştırmacılar tarafından tanımlanan iki farklı dağıtım zinciri vardı. Aşağıda, tehdit aktörleri tarafından kullanılan twi dağıtım zincirlerinden bahsettik:-
- Kötü Amaçlı Kelime Dosyası
- Word Dosyası Olarak Gizlenmiş Yürütülebilir Dosya
Kullanıcı “İçeriği Etkinleştir” düğmesine tıklarsa makro yürütülür ve bu ilk durumda geçerlidir. Bu yöntemi kullanarak, aşağıdaki konumda bir LNK dosyası oluşturulacak ve saklanacaktır: –
İndirilecek dosya Amadey indiricisidir.
İkincisine gelince, alıcılar, bir e-postanın içindeki bir ek gibi görünen bir Word belgesini taklit eden bir simge kullanılarak “Resume.exe” (Amadey) adlı bir dosyaya çift tıklamaları için kandırılır.
Bu dağıtım yollarının her ikisinin de neden olduğu enfeksiyonlar Amadey’i iletmek için aynı C2 adresini kullanır. Operatör muhtemelen aynı olacaktır, dolayısıyla aynı şeyi varsaymak geçerlidir.
Amadey ve C&C sunucusu arasındaki etkileşim sırasında üç komut alır. Bu komutların kullanımı yoluyla çeşitli kötü amaçlı yazılımlar indiriliyor ve yürütülüyor.
LockBit fidye yazılımının çeşitli yöntemlerle yayıldığı göz önüne alındığında, kullanıcıların bilinmeyen kaynaklardan herhangi bir içerik indirirken dikkatli olmaları önemlidir.
Sıfır Güven Becerilerinizi Gösterin – Sıfır Güven Durumu Ödülünü Kazanın – Bir Test Yapın