Albabat勒索软件组织可能将目标扩展到多个操作系统,使用GitHub简化操作
趋势研究发现了Albabat勒索软件的新版本。这些版本的发展表明勒索软件操作者可能将其目标从Windows扩展到Linux和macOS。研究还揭示了该组织使用GitHub来简化操作。
企业应对像Albabat这样的勒索软件威胁保持警惕,因为一旦威胁行为者获取并勒索关键数据,成功的攻击可能会导致声誉损害、运营中断和财务损失。
为了减轻Albabat勒索软件的影响,组织应对敏感数据实施强访问控制,定期更新和修补系统,并进行适当的备份。
Albabat勒索软件进化以针对多个操作系统
Albabat是一个以财务动机的勒索软件,其背后的组织最近活跃并发布了新版本的勒索软件。早期版本在2023年底和2024年初被观察到。我们的威胁狩猎团队最近遇到了版本2.0.0和2.5,这些版本不仅针对Microsoft Windows,还收集Linux和macOS上的系统和硬件信息。团队发现了多个先前未检测到的Albabat勒索软件变种。这些新版本通过GitHub REST API使用标记为“Awesome App”的“User-Agent”字符串检索其配置数据。配置提供了关于勒索软件行为和操作参数的关键细节。值得注意的是,它表明这些变种属于Albabat版本2.0。
通过解码,我们可以更好地理解勒索软件的配置。
Albabat版本忽略以下文件夹:Searches、AppData、$RECYCLE.BIN、System Volume Information、windows.old、steamapps、perflogs、ansel、tmp、node_modules、cache、vendor、target、Mozilla、venv、env、Chrome、google-chrome、pypoetry、vimfiles、viminfo、site-packages、scoop、go和temp。
此版本还加密以下扩展名:~$、.src、.ico、.cur、.theme、.themepack、.bat、.com、.cmd、.cpl、.prf、.icls、.idx、.mod、.pyd、.vhdx、._pth、.hta、.mp3、.CHK、.pickle、.pif、.url、.ogg、.tmp、.dat、.exe、.lnk、.win、.vscdb、.bin、.cab、.inf、.lib、.tcl、.cat、.so、.msi、.vpk、.vc、.cur、.ini、.bik、.sfx、.xnb、.ttf、.otf、.woff、.woff2、.vfont、.resource、.N2PK、.log、.pkg、.desktop、.dll、.pkr、.arc、.sig、.bk2、.arz、.swf、.qt、.wma、.mp2、.vdf、.pdb、.nfo、.whl、.mui、.srm、.smc、.dic、.lock、.pyc、.TAG、.locale、.store、.sdi、.library-ms、.acf、.po和.mo。
它还跳过以下文件:ntuser.dat、ntuser.ini、iconcache.db、Thumbs.db和.DS_Store。
此外,它终止以下进程:taskmgr.exe、processhacker.exe、regedit.exe、code.exe、excel.exe、powerpnt.exe、winword.exe、msaccess.exe、mspub.exe、msedge.exe、virtualboxvm.exe、virtualbox.exe、chrome.exe、cs2.exe、steam.exe、postgres.exe、mysqlworkbench.exe、outlook.exe、mysqld.exe、windowsterminal.exe、powershell.exe、cmd.exe、sublime_text.exe、microsoft.photos.exe和photosapp.exe。
配置详细信息显示了勒索软件存储从受害者机器收集的数据的位置。它连接到以下地址的PostgreSQL数据库:
|
|
勒索软件使用数据库来跟踪感染和支付。这些收集的信息帮助攻击者提出赎金要求、监控感染并出售受害者的数据。
配置还包括用于Linux和macOS的命令,表明已开发二进制文件以针对这些平台。
用于配置和基本组件的GitHub账户
GitHub仓库billdev.github.io用于存储和交付勒索软件的配置文件。尽管勒索软件使用的仓库目前是私有的,但通过Fiddler在连接过程中观察到的认证令牌仍然可以访问。
进一步调查GitHub账户后,我们发现该页面创建于2024年2月27日,意味着它刚刚超过一年。该账户注册在“Bill Borguiann”名下,这很可能是一个别名或化名。
提交历史显示持续活跃的开发,用户主要修改配置代码。相关的提交电子邮件是billdev@morke[.]org,最近的提交是在2025年2月22日。
提交历史显示在2024年8月和9月活动显著增加。有两个关键时间点提交量特别高:UTC时间00:00至04:00,以及12:00至16:00。这种模式显示了在这些特定小时内的集中和一致努力,如下面的图表所示。
在私有仓库中的一个值得注意的发现是一个名为2.5.x的文件夹,这可能暗示了勒索软件的新版本。考虑到在野外发现的最新版本是2.0,这强烈表明版本2.5目前正在开发中。
在2.5.x目录中没有找到勒索软件二进制文件。相反,它包含勒索软件版本2.5的config.json文件。此配置揭示了新增的加密货币钱包,用于比特币、以太坊、Solana和BNB。这些钱包中尚未检测到任何交易。
安全建议
保持领先于像Albabat这样的勒索软件威胁并监控妥协指标(IoCs)对于主动网络安全防御是必要的。这种方法允许早期威胁检测,增强安全措施,支持取证调查,并破坏网络犯罪分子的活动。对于研究人员来说,跟踪IoCs提供了对攻击模式的有价值见解,这可以帮助他们开发更有效的威胁预防策略。
企业还可以实施以下安全最佳实践:
- 定期备份:维护所有关键数据的最新安全备份。定期测试恢复过程,以确保在攻击事件中数据可以快速恢复。
- 网络分段:实施网络分段以限制勒索软件在组织内的传播。通过隔离敏感数据和关键系统,可以防止广泛的损害。
- 修补和更新系统:定期更新和修补应用软件、操作系统和其他应用程序,以确保关闭攻击者可能利用的漏洞。
- 用户培训和意识:为员工进行定期培训,以识别网络钓鱼尝试和可疑链接。
使用Trend Vision One™进行主动安全
Trend Vision One™是唯一一个AI驱动的企业网络安全平台,集中了网络风险暴露管理、安全操作和强大的分层保护。这种全面方法帮助您预测和预防威胁,加速整个数字资产的主动安全结果。凭借数十年的网络安全领导力和Trend Cybertron(行业首个主动网络安全AI)的支持,它提供了经过验证的结果:勒索软件风险降低92%,检测时间减少99%。安全领导者可以基准化他们的态势并向利益相关者展示持续改进。借助Trend Vision One,您能够消除安全盲点,专注于最重要的事情,并将安全提升为创新的战略合作伙伴。
Trend Vision One威胁情报
为了保持领先于不断演变的威胁,Trend Vision One客户可以访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络威胁发生之前保持领先,并通过提供关于威胁行为者、其恶意活动及其技术的全面信息,让他们为新兴威胁做好准备。通过利用这种情报,客户可以采取主动步骤保护其环境,减轻风险并有效应对威胁。
- Trend Vision One情报报告应用[IOC扫描]
- Albabat:使用GitHub简化勒索软件操作的配置和组件
- Trend Vision One威胁洞察应用
- 新兴威胁:Albabat:使用GitHub简化勒索软件操作的配置和组件
狩猎查询
Trend Vision One客户可以使用搜索应用来匹配或狩猎本博客文章中提到的恶意指标与其环境中的数据。
检测命令行执行以收集系统信息:
|
|
更多狩猎查询可用于已启用威胁洞察授权的Trend Vision One客户。
妥协指标(IoC)
| SHA1 | 检测 |
|---|---|
| 1cc2d1f2a991c19b7e633a92b1629641c019cdeb | Ransom.Win64.ALBABAT.THBBEBE |
| c7c52fdaecf325dfaf6eda14e0603579feaed40a | Ransom.Win64.ALBABAT.THBBEBE |
| 8a3ea65147a156d381d8f1773e91eb8e0f6b1e40 | Ransom.Win64.ALBABAT.THBBEBE |
| 8de54cad9d6316679580c91117b484acb493ab72 | Ransom.Win64.ALBABAT.THBBEBE |
| d67dc8c4232a3943a66608d62874923e9a3fb628 | Ransom.Win64.ALBABAT.THBBEBE |