記憶體安全週報第98期 |“打砸搶”式攻擊:Office文件直接推送勒索軟體AstraLocker 2.0

安芯網盾發表於2022-07-04

“打砸搶”式攻擊:Office文件直接推送勒索軟體:AstraLocker 2.06.28)

ReversingLabs 最近發現了一個新版本的AstraLocker 勒索軟體 (AstraLocker 2.0),它直接從被用作網路釣魚攻擊的誘餌的Microsoft Office檔案分發。我們的分析表明,負責此次攻擊的威脅行為者很可能從 2021 年 9 月 洩露的Babuk 勒索軟體中獲得了 AstraLocker 2.0 的底層程式碼。這兩個攻擊之間的聯絡包括共享的程式碼和活動標記,而用於支付贖金的 Monero 錢包地址與 Chaos Ransomware 團伙相關。


詳細情況

2021年首次確定AstraLocker是由一個同名網路犯罪集團使用的勒索軟體Babuk的一個分支。Babuk集團運營著一個勒索服務平臺,並將其軟體授權給附屬公司以進行攻擊。

Babuk 於 2021 年初首次出現,並與一系列備受矚目的攻擊有關,包括 2021 年 4 月針對華盛頓特區地鐵警察局的勒索軟體攻擊和資料洩露。2021年9月,Babuk集團自己也成了攻擊目標,其原始碼被盜並被洩露到了一個俄羅斯駭客論壇。

AstraLocker 惡意軟體也出現在2021年,與Babuk同時出現。 AstraLocker 2.0 於2022年3月首次出現。

ReversingLabs 研究人員得出的結論是,由於2021年年中Babuk程式碼洩漏,負責此次攻擊的威脅行為者可能獲得了AstraLocker 2.0勒索軟體的完整構建。該攻擊的的許多要素使我們得出這一結論。 其中:AstraLocker 2.0 中的程式碼和活動標記與本文所述的Babuk 集團使用的加密程式一致。此外,攻擊者還新增了 SafeEngine Shielden 打包器和稍微修改過的 Babuk 勒索提示。

以下是ReversingLabs確定的AstraLocker 2.0 IOC的雜湊值。

記憶體安全週報第98期 |“打砸搶”式攻擊:Office文件直接推送勒索軟體AstraLocker 2.0

參考連結

https://blog.reversinglabs.com/blog/smash-and-grab-astralocker-2-pushes-ransomware-direct-from-office-docs?&web_view=true




相關文章