AstraLocker 2.0 直接從 Word 附件感染用戶

“AstraLocker 2.0 直接從 Word 附件感染用戶”

這種方法非常不尋常，因為通常表徵電子郵件攻擊的所有中間步驟都有助於逃避檢測並最大限度地減少在電子郵件安全產品上發出危險信號的機會。
根據一直跟踪 AstraLocker 操作的ReversingLabs的說法，攻擊者似乎並不關心偵察、有價值文件的評估和橫向網絡移動。
取而代之的是，他們以最大的力量對他的立即命中進行“粉碎-n-搶奪”攻擊，以快速獲得回報。
從文檔到加密
AstraLocker 2.0 的運營商使用的誘餌是一個 Microsoft Word 文檔，該文檔隱藏了帶有勒索軟件有效負載的 OLE 對象。嵌入的可執行文件使用文件名“WordDocumentDOC.exe”。
要執行有效載荷，用戶需要在打開文檔時出現的警告對話框中單擊“運行”，從而進一步降低攻擊者成功的機會。

這種批量方法符合 Astra 的整體“smash-n-grab”策略，選擇 OLE 對象而不是惡意軟件分發中更常見的 VBA 宏。
另一個特殊的選擇是使用 SafeEngine Shielder v2.4.0.0 來打包可執行文件，這是一個非常陳舊過時的打包程序，幾乎不可能進行逆向工程。
在進行反分析檢查以確保勒索軟件沒有在虛擬機中運行並且沒有在其他活動進程中加載調試器後，惡意軟件會使用 Curve25519 算法準備系統進行加密。
準備工作包括終止可能危及加密的進程，刪除可能使受害者更容易恢復的捲影副本，以及停止備份和 AV 服務列表。回收站只是清空而不是加密其內容。

AstraLocker 背景
根據 ReversingLabs 的代碼分析，AstraLocker 是基於洩露的 Babuk 源代碼，這是一種有缺陷但仍然很危險的勒索軟件，已於 2021 年 9 月退出該領域。
此外，勒索信中列出的門羅幣錢包地址之一與Chaos 勒索軟件的運營商有關。
這可能意味著相同的運營商支持這兩種惡意軟件，或者相同的黑客是這兩個勒索軟件項目的附屬機構，這種情況並不少見。
從支撐最新戰役的策略來看，這似乎不是一個老練的演員的作品，而是一個決心盡可能多地發動破壞性攻擊的人。

-文章作者Bill Toulas