Afiliasi ransomware LockBit 3.0 menggunakan email phishing yang menginstal Amadey Bot untuk mengendalikan perangkat dan mengenkripsi perangkat.
Menurut yang baru Laporan AhnLabpelaku ancaman menargetkan perusahaan yang menggunakan email phishing dengan umpan yang berpura-pura sebagai tawaran lamaran pekerjaan atau pemberitahuan pelanggaran hak cipta.
Payload LockBit 3.0 yang digunakan dalam serangan ini diunduh sebagai skrip PowerShell yang dikaburkan atau bentuk yang dapat dieksekusi, berjalan di host untuk mengenkripsi file.
Aktivitas Amadey Bot
Malware Amadey Bot adalah jenis lama yang mampu melakukan pengintaian sistem, eksfiltrasi data, dan pemuatan muatan.
Peneliti Korea di AhnLab telah memperhatikan peningkatan aktivitas Amadey Bot pada tahun 2022 dan melaporkan temuan versi baru dari malware pada bulan Juli, dijatuhkan melalui SmokeLoader.
Versi terbaru menambahkan deteksi antivirus dan kemampuan penghindaran otomatis, membuat intrusi dan menjatuhkan muatan lebih tersembunyi.
Dalam kampanye Juli, Amadey menjatuhkan berbagai malware pencuri informasi, seperti RedLine, tetapi kampanye yang lebih baru memuat muatan LockBit 3.0 sebagai gantinya.
Rantai infeksi
Peneliti AhnLab melihat dua rantai distribusi yang berbeda, satu mengandalkan makro VBA di dalam dokumen Word dan satu menyamarkan executable berbahaya sebagai file Word.
Dalam kasus pertama, pengguna harus mengklik tombol “Aktifkan Konten” untuk menjalankan makro, yang membuat file LNK dan menyimpannya ke “C:\Users\Public\skem.lnk”. File ini adalah pengunduh untuk Amadey.
Kasus kedua, terlihat pada akhir Oktober, menggunakan lampiran email dengan file bernama “Resume.exe” (Amadey) yang menggunakan ikon dokumen Word, menipu penerima agar mengklik dua kali.
Kedua jalur distribusi menyebabkan infeksi Amadey yang menggunakan alamat perintah dan kontrol (C2) yang sama, jadi aman untuk menganggap operatornya sama.
Amadey ke LockBit 3.0
Pada peluncuran pertama, malware menyalin dirinya sendiri ke direktori TEMP dan membuat tugas terjadwal untuk menetapkan kegigihan antara reboot sistem.
Selanjutnya, Amadey terhubung ke C2, mengirim laporan profil host, dan kemudian menunggu penerimaan perintah.
Tiga kemungkinan perintah dari server C2 memerintahkan pengunduhan dan eksekusi LockBit, dalam bentuk PowerShell (‘cc.ps1’ atau ‘dd.ps1’), atau bentuk exe (‘LBB.exe’).
Payload sekali lagi dijatuhkan di TEMP sebagai salah satu dari tiga berikut:
- %TEMP%\100018041\dd.ps1
- %TEMP%\1000019041\cc.ps1
- %TEMP%\1000020001\LBB.exe
Dari sana, LockBit mengenkripsi file pengguna dan menghasilkan catatan tebusan yang menuntut pembayaran, mengancam akan mempublikasikan file curian di situs pemerasan grup.
.png)
Pada September 2022, AnhLab mengamati dua metode distribusi LockBit 3.0 lainnya, satu menggunakan dokumen DOTM dengan makro VBA berbahaya dan satu menjatuhkan file ZIP yang berisi malware di format NSIS.
Sebelumnya, pada Juni 2022, LockBit 2.0 terlihat didistribusikan melalui email pelanggaran hak cipta palsu yang dijatuhkan Pemasang NSISjadi semuanya tampaknya merupakan evolusi dari kampanye yang sama.
