详细内容或原文请订阅后点击阅览
抢劫:AstraLocker 2.0 直接从 Office 文档推送勒索软件
IP 语音 (VoIP) 提供商 3CX 被入侵的快速发展故事重新引起了人们对软件供应链入侵所带来的威胁的关注。国家支持的黑客篡改了 3CX 的桌面客户端,破坏了该公司的 Windows 和 macOS 构建环境,并在桌面客户端的代码中添加了后门。更新随后被签名并推送给客户。
来源:ReversingLabs _恶意软件ReversingLabs 最近发现了 AstraLocker 2.0 恶意软件的实例,该恶意软件直接从用于网络钓鱼攻击的 Microsoft Word 文件中分发。
ReversingLabs 最近发现了 AstraLocker 2.0 恶意软件的实例,该恶意软件直接从用于网络钓鱼攻击的 Microsoft Word 文件中分发。执行摘要
执行摘要ReversingLabs 最近发现了 AstraLocker 勒索软件的新版本 (AstraLocker 2.0),该版本直接从用作网络钓鱼攻击诱饵的 Microsoft Office 文件中分发。我们的分析表明,负责此活动的威胁行为者很可能从 2021 年 9 月泄露的 Babuk 勒索软件中获得了 AstraLocker 2.0 的底层代码。这两个活动之间的联系包括共享代码和活动标记,而列出的用于支付赎金的 Monero 钱包地址与 Chaos Ransomware 团伙有关。
2021 年 9 月 Babuk 勒索软件泄露“抢劫”攻击方法以及其他特征表明,与 Babuk 和其他更复杂的勒索软件组织使用的更耐心、更有条理、更有分寸的攻击方式相比,该恶意软件背后的攻击者技能低下且试图造成破坏。这凸显了在影响 Babuk 的代码泄露之后对组织构成的风险,因为大量低技能、高动机的参与者利用泄露的代码进行自己的攻击。
分析
ReversingLabs 威胁分析师研究了 AstraLocker 2.0 恶意软件的许多样本。本报告反映了他们对恶意软件及其相关攻击的分析结论。
背景
AstraLocker 于 2021 年首次被发现,是同名网络犯罪集团使用的勒索软件 Babuk 的一个分支。Babuk 集团运营一个勒索软件即服务 (RaaS) 平台,并将其软件授权给关联公司进行攻击。
勒索软件攻击和数据泄露 Babuk 源代码被盗 AstraLocker 2.0