【安全资讯】Amadey Bot通过SmokeLoader分发

猎影实验室 2022-07-26 03:06:58 1751人浏览

Amadey Bot是于2018年首次被发现的恶意软件,能够通过接收攻击者的命令窃取信息并安装其他恶意软件。Amadey 主要被GandCrab的攻击者用来安装勒索软件,或者被TA505组织用来安装 FlawedAmmyy。近日,研究人员发现,新版本的Amadey恶意软件正在通过SmokeLoader传播。

 

SmokeLoader 运行时,会将 Main Bot 注入当前正在运行的资源管理器进程 (explorer.exe),注入explorer,下载Amadey。获取并执行 Amadey 后,它会将自身复制到名为“bguuwe.exe”的 TEMP 文件夹中,并使用 cmd.exe 命令创建计划任务以保持持久性。随后,Amadey 建立 C2 通信并向攻击者的服务器发送系统配置文件,包括操作系统版本、架构类型、已安装的防病毒工具列表等。最新的 Amadey C&C 面板登录页面如下:

失陷指标(IOC)17
Amadey Bot SmokeLoader
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。