新闻中心 > 新闻详情

内存安全周报第98期 |“打砸抢”式攻击:Office文档直接推送勒索软件AstraLocker 2.0

2022 年 7 月 3 日

安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

“打砸抢”式攻击:Office文档直接推送勒索软件:AstraLocker 2.0(6.28)

ReversingLabs 最近发现了一个新版本的AstraLocker 勒索软件 (AstraLocker 2.0),它直接从被用作网络钓鱼攻击的诱饵的Microsoft Office文件中分发。我们的分析表明,负责此次攻击的威胁行为者很可能从 2021 年 9 月 泄露的Babuk 勒索软件中获得了 AstraLocker 2.0 的底层代码。这两个攻击之间的联系包括共享的代码和活动标记,而用于支付赎金的 Monero 钱包地址与 Chaos Ransomware 团伙相关。

详细情况

在2021年首次确定AstraLocker是由一个同名网络犯罪集团使用的勒索软件Babuk的一个分支。Babuk集团运营着一个勒索服务平台,并将其软件授权给附属公司以进行攻击。

Babuk 于 2021 年初首次出现,并与一系列备受瞩目的攻击有关,包括 2021 年 4 月针对华盛顿特区地铁警察局的勒索软件攻击和数据泄露。2021年9月,Babuk集团自己也成了攻击目标,其源代码被盗并被泄露到了一个俄罗斯黑客论坛。

AstraLocker 恶意软件也出现在2021年,与Babuk同时出现。 AstraLocker 2.0 于2022年3月首次出现。

ReversingLabs 研究人员得出的结论是,由于2021年年中Babuk代码泄漏,负责此次攻击的威胁行为者可能获得了AstraLocker 2.0勒索软件的完整构建。该攻击的的许多要素使我们得出这一结论。 其中:AstraLocker 2.0 中的代码和活动标记与本文所述的Babuk 集团使用的加密程序一致。此外,攻击者还添加了 SafeEngine Shielden 打包器和稍微修改过的 Babuk 勒索提示。

以下是由ReversingLabs确定的AstraLocker 2.0 IOC的哈希值。

哈希值

参考链接

https://blog.reversinglabs.com/blog/smash-and-grab-astralocker-2-pushes-ransomware-direct-from-office-docs?&web_view=true

隐私政策     法律信息     Copyright©️2019-2021 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24