直指word附件,勒索軟件AstraLocker 2.0來襲!
責編:gltian |2022-07-01 17:09:09近期,一種鮮為人知的名為AstraLocker的勒索軟件發布了它的第二個主要版本,據威脅分析師稱,它能快速發動攻擊,并直接從電子郵件附件中刪除其有效負載。這種方法是很少見的,因為所有典型的電子郵件攻擊都會盡量逃避檢測,并盡量減少電子郵件安全產品發出危險信號的幾率。
根據一直跟蹤AstraLocker的ReversingLabs的說法,攻擊者似乎并不關心偵察、有價值文件、以及潛入內網橫向移動等。相反,他們追求以最大的力量發起對目標的攻擊,來換取快速回報。
勒索軟件AstraLocker 2.0使用的誘餌是一個Microsoft Word文檔,該文檔隱藏了一個帶有勒索軟件有效載荷的OLE對象,其中嵌入式可執行文件的文件名為“WordDocumentDOC.exe”。要執行有效負載,用戶需要在打開文檔時出現的警告對話框上單擊“Run”。這種處理方法符合Astra的整體“擊殺-抓取”策略,選擇OLE對象而不是惡意軟件發行版中更常見的VBA宏。
另一個選擇是使用 SafeEngine Shielder v2.4.0.0 來打包可執行文件,這是一個非常陳舊過時的打包程序,幾乎不可能進行逆向工程。在反分析檢查以確保勒索軟件沒有在虛擬機中運行,并且沒有在其他活動進程中加載調試器之后,惡意軟件會使用Curve25519算法為加密系統做好準備。這些準備工作包括終止可能危及加密的進程,刪除卷映像副本,以及停止一系列備份和反病毒服務。
根據 ReversingLabs 的代碼分析,AstraLocker 是基于泄露的Babuk源代碼,這是一種有缺陷但仍然很危險的勒索軟件,好在它已于2021 年9月退出該領域。此外,勒索信中列出的Monero錢包地址之一與Chaos勒索軟件的組織有關。這可能意味著相同的威脅行為者在操作這兩種惡意軟件,這種情況并不少見。但從最新的案例來看,AstraLocker 2.0似乎不是一個老練的威脅行為者的行為,因為他會盡可能地破壞更多目標。
參考來源:https://www.bleepingcomputer.com/news/security/astralocker-20-infects-users-directly-from-word-attachments/