記憶體安全週報第98期 |“打砸搶”式攻擊：Office文件直接推送勒索軟體AstraLocker 2.0

“打砸搶”式攻擊：Office文件直接推送勒索軟體：AstraLocker 2.0（6.28）

ReversingLabs 最近發現了一個新版本的AstraLocker 勒索軟體 (AstraLocker 2.0)，它直接從被用作網路釣魚攻擊的誘餌的Microsoft Office檔案中分發。我們的分析表明，負責此次攻擊的威脅行為者很可能從 2021 年 9 月 洩露的Babuk 勒索軟體中獲得了 AstraLocker 2.0 的底層程式碼。這兩個攻擊之間的聯絡包括共享的程式碼和活動標記，而用於支付贖金的 Monero 錢包地址與 Chaos Ransomware 團伙相關。

詳細情況

在2021年首次確定AstraLocker是由一個同名網路犯罪集團使用的勒索軟體Babuk的一個分支。Babuk集團運營著一個勒索服務平臺，並將其軟體授權給附屬公司以進行攻擊。

Babuk 於 2021 年初首次出現，並與一系列備受矚目的攻擊有關，包括 2021 年 4 月針對華盛頓特區地鐵警察局的勒索軟體攻擊和資料洩露。2021年9月，Babuk集團自己也成了攻擊目標，其原始碼被盜並被洩露到了一個俄羅斯駭客論壇。

AstraLocker 惡意軟體也出現在2021年，與Babuk同時出現。 AstraLocker 2.0 於2022年3月首次出現。

ReversingLabs 研究人員得出的結論是，由於2021年年中Babuk程式碼洩漏，負責此次攻擊的威脅行為者可能獲得了AstraLocker 2.0勒索軟體的完整構建。該攻擊的的許多要素使我們得出這一結論。 其中：AstraLocker 2.0 中的程式碼和活動標記與本文所述的Babuk 集團使用的加密程式一致。此外，攻擊者還新增了 SafeEngine Shielden 打包器和稍微修改過的 Babuk 勒索提示。

以下是由ReversingLabs確定的AstraLocker 2.0 IOC的雜湊值。

參考連結

https://blog.reversinglabs.com/blog/smash-and-grab-astralocker-2-pushes-ransomware-direct-from-office-docs?&web_view=true