s1025-amadey - RunkIntel

# Amadey > Tipo: **botnet MaaS** - S1025 - [MITRE ATT&CK](https://attack.mitre.org/software/S1025) > [!warning] Malware-as-a-Service com Adocao por APTs > Amadey e um Trojan bot modular vendido por ~$500 em forums clandestinos russos desde outubro de 2018. Apesar da origem cibercriminosa, foi adotado por grupos de espionagem como [[g0094-kimsuky|Kimsuky]] da Coreia do Norte - sinal de que seu modelo MaaS transcende o crime financeiro e alimenta operações de espionagem estatal. ## Visão Geral [[s1025-amadey|Amadey]] e um Trojan bot modular disponível como Malware-as-a-Service (MaaS) em forums clandestinos russos desde outubro de 2018, comercializado por aproximadamente $500 por acesso ao painel de controle. Sua arquitetura modular permite que diferentes operadores personalizem funcionalidades conforme os objetivos da campanha - de coleta de credenciais a distribuição de ransomware. A versatilidade do Amadey atraiu tanto grupos cibercriminosos quanto atores de espionagem. O [[g0094-kimsuky|Kimsuky]] da Coreia do Norte e o [[ta505|TA505]] figuram entre os usuarios documentados, demonstrando que mesmo ferramentas de origem criminosa sao reutilizadas por atores sofisticados. Em abril de 2025, a Cisco Talos identificou uma nova campanha usando o carregador **Emmenhtal** para distribuir Amadey junto com outros stealers via repositorios GitHub comprometidos. O Amadey implementa comunicação C2 via **HTTP com criptografia RC4**, com uma variante de Fast Flux DNS ([[t1568-001-fast-flux-dns|T1568.001]]) que rotaciona continuamente os IPs do servidor C2, tornando o bloqueio de infraestrutura particularmente dificil para equipes de defesa. Suas funcionalidades de reconhecimento incluem enumeracao de software de segurança instalado ([[t1518-001-security-software-discovery|T1518.001]]) e geofencing baseado na localidade do sistema, evitando execução em sistemas configurados em russo. **Plataformas:** Windows ## Como Funciona O Amadey opera em pipeline modular com etapas bem definidas: 1. **Entrega inicial:** Distribudo via phishing com documentos Office maliciosos, SmokeLoader ou PrivateLoader como dropper de primeiro estagio 2. **Evasão de MotW:** Remove a marca Mark-of-the-Web de arquivos baixados via [[t1553-005-mark-of-the-web-bypass|T1553.005]], evitando avisos de segurança do Windows 3. **Reconhecimento inicial:** Enumera sistema operacional, nome do computador, usuario e softwares de segurança ([[t1082-system-information-discovery|T1082]], [[t1518-001-security-software-discovery|T1518.001]]) 4. **Geofencing:** Verifica localidade do sistema via [[t1614-system-location-discovery|T1614]] - evita execução em maquinas configuradas em russo 5. **Persistência:** Adiciona entradas no registro de inicializacao ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e modifica o registro ([[t1112-modify-registry|T1112]]) 6. **Conexão C2:** Estabelece comunicação HTTP com RC4 para o servidor de controle; usa Fast Flux DNS para evasão de bloqueio de infraestrutura 7. **Carga de plugins:** Baixa e executa plugins DLL especializados via [[t1105-ingress-tool-transfer|T1105]]: - `clip64.dll` - sequestro de clipboard (crypto addresses) - `cred64.dll` - coleta de credenciais de browsers e aplicativos 8. **Exfiltração:** Envia dados coletados de volta ao C2 via [[t1041-exfiltration-over-c2-channel|T1041]] 9. **Distribuição de payload secundario:** Entrega [[s1240-redline-stealer|RedLine]], [[lumma-stealer|Lumma]], [[stealc|StealC]] ou outros stealers conforme configuração do operador ```mermaid graph TB A["Phishing / SmokeLoader Entrega inicial"] --> B["Amadey Bot Instalacao e setup"] B --> C["MotW Bypass T1553.005"] C --> D["Reconhecimento T1082 + T1518.001"] D --> E["Geofencing Evita sistemas em russo"] E --> F["Persistência Registry Run Keys"] F --> G["Conexão C2 HTTP RC4 + Fast Flux"] G --> H["Download Plugins clip64 / cred64"] H --> I["Coleta Credenciais T1005 + T1041"] I --> J["Payload Secundario RedLine / Lumma / StealC"] J --> K["Exfiltração Final Via C2 channel"] ``` ## Timeline de Eventos ```mermaid timeline title Amadey - Evolução e Campanhas 2018 : Lancamento em outubro : Disponível em forums russos por $500 2019 : Adotado por TA505 em campanhas globais 2020 : Kimsuky usa Amadey em operacoes de espionagem 2021 : Integrado em cadeia com SmokeLoader e outros droppers 2022 : Aumento de uso em campanhas de ransomware como pre-acesso 2023 : Versoes atualizadas com melhor evasão de AV 2024 : Amadey entrega StealC e Lumma Stealer em escala 2025 : Cisco Talos denuncia campanha Emmenhtal+Amadey via GitHub ``` ## Técnicas Utilizadas | Técnica | Descrição | |---------|-----------| | [[t1083-file-and-directory-discovery\|T1083]] | Enumera arquivos do sistema durante reconhecimento | | [[t1027-obfuscated-files-or-information\|T1027]] | Ofusca strings e código para evadir análise estática | | [[t1568-001-fast-flux-dns\|T1568.001]] | Fast Flux DNS para dificultar bloqueio de C2 | | [[t1518-001-security-software-discovery\|T1518.001]] | Detecta antivirus e ferramentas de segurança instaladas | | [[t1106-native-api\|T1106]] | Chamadas diretas a API nativa do Windows | | [[t1005-data-from-local-system\|T1005]] | Coleta dados locais via plugins DLL | | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltra dados coletados pelo mesmo canal C2 | | [[t1553-005-mark-of-the-web-bypass\|T1553.005]] | Remove MotW de arquivos para evitar avisos de segurança | | [[t1105-ingress-tool-transfer\|T1105]] | Baixa plugins DLL e payloads secundarios | | [[t1082-system-information-discovery\|T1082]] | Coleta informações do sistema comprometido | | [[t1112-modify-registry\|T1112]] | Modifica registro do Windows para persistência | | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Registry Run Keys para persistência entre reboots | | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Desofusca strings e DLLs em runtime | | [[t1033-system-owneruser-discovery\|T1033]] | Identifica usuario e proprietario do sistema | | [[t1614-system-location-discovery\|T1614]] | Verifica localidade para geofencing anti-CIS | ## Grupos que Usam - [[g0094-kimsuky|Kimsuky]] - grupo norte-coreano de espionagem, usa Amadey como dropper de reconhecimento - [[ta505|TA505]] - grupo cibercriminoso, usa Amadey em campanhas de distribuição em larga escala ## Impacto no Brasil e LATAM O Amadey representa uma ameaça dupla para organizacoes brasileiras e latino-americanas: sua disponibilidade como MaaS por apenas $500 democratiza o acesso a uma ferramenta de botnet sofisticada, tornando-o acessivel a operadores de baixo perfil que podem usar a plataforma para distribuir ransomware como o [[lockbit|LockBit]] ou stealers como o [[s1240-redline-stealer|RedLine]] e [[lumma-stealer|Lumma]] contra alvos na regiao. A campanha documentada pela Cisco Talos em abril de 2025, envolvendo o carregador Emmenhtal distribuindo Amadey via repositorios GitHub comprometidos, demonstra que novos vetores de entrega continuam sendo desenvolvidos - e esses vetores sao agnósticos de regiao geografica. O geofencing anti-CIS presente no Amadey confirma origem russa, mas nao oferece proteção ao Brasil ou demais paises da LATAM. > [!danger] Precursor de Ransomware > A detecção do Amadey em uma rede corporativa deve ser tratada como sinal de alerta para possível entrega de ransomware iminente. O Amadey e frequentemente o estagio intermediario entre acesso inicial e implantação de ransomware de alto impacto. ## Detecção - Monitorar conexoes HTTP periodicas para IPs externos com corpo RC4-criptografado em processos nao-browser - Alertar para criação de chaves Registry Run por processos nao-assinados ou em locais temporarios - Detectar carregamento de DLL nao catalogada (`clip64.dll`, `cred64.dll`) por processos suspeitos - Implementar bloqueio de dominio via feeds de ameaça para infraestrutura C2 conhecida do Amadey - Monitorar acesso ao clipboard por processos fora de aplicações esperadas (sinal de sequestro de crypto) - Regras de detecção: consultar [[m1049-antivirus-antimalware|M1049 - Antivirus/Antimalware]] e [[m1030-network-segmentation|M1030 - Segmentacao de rede]] ## Referências - [MITRE ATT&CK - S1025](https://attack.mitre.org/software/S1025) - [ANY.RUN - Amadey Malware Analysis](https://any.run/malware-trends/amadey) - [Cisco Talos - Emmenhtal Loader using GitHub (2025)](https://blog.talosintelligence.com/threat-actor-delivers-malware-for-stealing-browser-data-and-screenshots/) - [Kaspersky - Amadey analysis](https://securelist.com/amadey-bot/96521/) - [SEKOIA.IO - Amadey botnet profile](https://blog.sekoia.io/amadey-an-overview-of-a-widespread-loader/)