Albabat勒索软件组织可能将目标扩展到多个操作系统 使用GitHub简化运营

关键发现

趋势研究发现Albabat勒索软件的新版本。这些版本的开发表明勒索软件运营商可能将其目标从Windows扩展到Linux和macOS。研究还揭示了该组织使用GitHub来简化运营。

企业应保持对Albabat等勒索软件威胁的警惕，因为一旦威胁行为者获取并勒索关键数据，成功的攻击可能导致声誉损害、运营中断和财务损失。

为缓解Albabat勒索软件，组织应对敏感数据实施强访问控制，定期更新和修补系统，并进行适当备份。

Albabat勒索软件进化以针对多个操作系统

Albabat是一个出于经济动机的勒索软件，其背后的组织最近活跃并发布了新版本的勒索软件。早期版本在2023年底和2024年初被观察到。我们的威胁狩猎团队最近遇到了2.0.0和2.5版本，这些版本不仅针对Microsoft Windows，还收集Linux和macOS上的系统和硬件信息。团队发现了多个先前未检测到的Albabat勒索软件变种。这些新版本通过GitHub REST API使用标记为"Awesome App"的"User-Agent"字符串检索其配置数据。配置提供了关于勒索软件行为和操作参数的关键细节。值得注意的是，它表明这些变体属于Albabat 2.0版本。

图1. Fiddler中的图像显示勒索软件配置的下载

通过解码，我们可以更好地理解勒索软件的配置。

Albabat版本忽略以下文件夹：Searches、AppData、$RECYCLE.BIN、System Volume Information、windows.old、steamapps、perflogs、ansel、tmp、node_modules、cache、vendor、target、Mozilla、venv、env、Chrome、google-chrome、pypoetry、vimfiles、viminfo、site-packages、scoop、go和temp。

此版本还加密以下扩展名：~$、.src、.ico、.cur、.theme、.themepack、.bat、.com、.cmd、.cpl、.prf、.icls、.idx、.mod、.pyd、.vhdx、._pth、.hta、.mp3、.CHK、.pickle、.pif、.url、.ogg、.tmp、.dat、.exe、.lnk、.win、.vscdb、.bin、.cab、.inf、.lib、.tcl、.cat、.so、.msi、.vpk、.vc、.cur、.ini、.bik、.sfx、.xnb、.ttf、.otf、.woff、.woff2、.vfont、.resource、.N2PK、.log、.pkg、.desktop、.dll、.pkr、.arc、.sig、.bk2、.arz、.swf、.qt、.wma、.mp2、.vdf、.pdb、.nfo、.whl、.mui、.srm、.smc、.dic、.lock、.pyc、.TAG、.locale、.store、.sdi、.library-ms、.acf、.po和.mo。

它还跳过以下文件：ntuser.dat、ntuser.ini、iconcache.db、Thumbs.db和.DS_Store。

此外，它终止以下进程：taskmgr.exe、processhacker.exe、regedit.exe、code.exe、excel.exe、powerpnt.exe、winword.exe、msaccess.exe、mspub.exe、msedge.exe、virtualboxvm.exe、virtualbox.exe、chrome.exe、cs2.exe、steam.exe、postgres.exe、mysqlworkbench.exe、outlook.exe、mysqld.exe、windowsterminal.exe、powershell.exe、cmd.exe、sublime_text.exe、microsoft.photos.exe和photosapp.exe。

配置详细信息显示勒索软件存储从受害者机器收集数据的位置。它连接到以下地址的PostgreSQL数据库：

1

postgres://postgres.<username>:<password>@aws-0-us-west-1.pooler.supabase[.]com:5432/postgres

图2. 这些数据代表勒索软件从受感染机器窃取的信息。包括系统详细信息、用户信息、地理位置数据、加密状态和赎金支付详情

勒索软件使用数据库跟踪感染和支付情况。这些收集的信息帮助攻击者提出赎金要求、监控感染情况并出售受害者数据。

配置还包括针对Linux和macOS的命令，表明已开发针对这些平台的二进制文件。

图3. 在Linux和macOS系统上收集硬件和系统信息的脚本

用于配置和基本组件的GitHub账户

GitHub仓库billdev.github.io用于存储和交付勒索软件的配置文件。尽管勒索软件使用的仓库目前是私有的，但在Fiddler连接期间观察到的认证令牌仍然可以访问。

图4. 显示HTTPS GET请求到GitHub API以从仓库检索config.json文件的网络流量捕获

图6. 位于billdev1.github.io，显示问候消息"Hello! I’m Bill."

进一步调查GitHub账户后，我们发现该页面创建于2024年2月27日，意味着它刚满一年。该账户注册名为"Bill Borguiann"，可能是一个别名或假名。

图7. 呈现用户billdev1的详细配置文件信息，包括姓名、简介、位置和各种与其GitHub活动相关的URL

提交历史显示持续活跃的开发，用户主要修改配置代码。关联的提交邮箱是billdev@morke[.]org，最近一次提交是在2025年2月22日。

图8. 显示提交元数据，包括SHA、作者、提交者、消息和相关资源的URL

提交历史显示在2024年8月和9月活动显著增加。在两个关键时间段提交量特别高：UTC时间00:00至04:00，以及12:00至16:00。这种模式显示了在这些特定时间内的专注和持续努力，如下图所示。

图9. 折线图显示随时间记录的提交数量

图10. 24小时内提交的分布

私有仓库中的一个重要发现是一个名为2.5.x的文件夹，这可能暗示勒索软件的新版本。考虑到野外发现的最新版本是2.0，这强烈表明2.5版本目前正在开发中。

图11. JSON片段包含GitHub仓库中名为"v2.5.x"目录的元数据

在2.5.x目录中没有找到勒索软件二进制文件。相反，它包含勒索软件2.5版本的config.json文件。此配置揭示了新增的比特币、以太坊、Solana和BNB加密货币钱包。这些钱包尚未检测到任何交易。

图12. 显示添加了加密货币钱包及其对应加密货币地址的配置图像

安全建议

保持对Albabat等勒索软件威胁的领先地位并监控妥协指标(IoC)对于主动网络安全防御是必要的。这种方法可以早期检测威胁，增强安全措施，支持取证调查，并破坏网络犯罪分子的活动。对于研究人员来说，跟踪IoC提供了对攻击模式的宝贵见解，可以帮助他们开发更有效的威胁预防策略。

企业还可以实施以下安全最佳实践：

• 定期备份：维护所有关键数据的最新安全备份。定期测试恢复过程，以确保在攻击事件中能够快速恢复数据。
• 网络分段：实施网络分段以限制勒索软件在组织内的传播。通过隔离敏感数据和关键系统，可以防止广泛损害。
• 修补和更新系统：定期更新和修补应用软件、操作系统和其他应用程序，以确保关闭攻击者可能利用的漏洞。
• 用户培训和意识：为员工进行定期培训，以识别网络钓鱼尝试和可疑链接。

使用Trend Vision One™进行主动安全

Trend Vision One™是唯一一个集中网络风险暴露管理、安全操作和强大分层保护的AI驱动企业网络安全平台。这种全面方法帮助您预测和预防威胁，加速整个数字资产的主动安全结果。凭借数十年的网络安全领导力和行业首个主动网络安全AI Trend Cybertron的支持，它提供了经过验证的结果：勒索软件风险降低92%，检测时间减少99%。安全领导者可以基准化其态势并向利益相关者展示持续改进。借助Trend Vision One，您能够消除安全盲点，专注于最重要的事情，并将安全提升为创新的战略合作伙伴。

Trend Vision One威胁情报

为了领先于不断演变的威胁，Trend Vision One客户可以访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络威胁发生之前保持领先，并通过提供关于威胁行为者、其恶意活动及其技术的全面信息，让他们为新兴威胁做好准备。通过利用这些情报，客户可以采取主动步骤保护其环境，减轻风险并有效应对威胁。

狩猎查询

Trend Vision One客户可以使用搜索应用程序将本博客文章中提到的恶意指标与其环境中的数据匹配或狩猎。

检测系统信息收集的命令行执行

1

eventSubId: 2 AND processCmd: /cmd.+wmic (cpu|csproduct|os|nic).+get (name|caption|displayName|MACAddress)/

更多狩猎查询可供启用威胁洞察授权的Trend Vision One客户使用。

妥协指标(IoC)