安全研究人员于 2025 年 9 月初首次观察到 LunaLock,这是一种针对独立插画师和数字艺术家的复杂勒索软件。
利用受损的凭据和社会工程,LunaLock 背后的团队将目光投向了一个利基市场——艺术家和客户——自由创作者在这里交换定制佣金。
最初的入侵涉及伪装成版税通知的鱼叉式网络钓鱼活动,诱使受害者下载木马化的“发票”附件。
一旦执行,有效载荷就会站稳脚跟并开始侦察艺术资产和客户数据库,同时为快速加密做准备。
VenariX 分析师在将来自艺术家工作站的异常出站 HTTP 请求与大量文件加密的时间相关联后,确定了 LunaLock 的多阶段部署。
他们的遥测显示,该恶意软件从 Microsoft Teams 和 Slack 客户端提取用户令牌,允许跨共享设计存储库和项目管理平台进行横向移动。
受害者报告了加密源 PSD 和 AI 文件,文件名后附加了唯一的“.lunalock”扩展名,并附有勒索字条,要求以门罗币付款。
勒索软件的影响超出了数据加密的范围:在受害者收到解密密钥之前,被盗的艺术品就会泄露到远程命令和控制服务器,从而产生双重杠杆作用。
公开披露的示例显示了一个模块化架构,其中包含用于网络传播、凭据盗窃和规避端点检测系统的插件。
一项值得注意的创新是集成了缩小的 JavaScript 模块,该模块通过注入服务控制管理器来禁用 Windows Defender 实时扫描过程。
感染机制
深入研究 LunaLock 的感染机制,发现了一个自定义加载程序,该加载程序可以动态解析 Win32 API 调用以逃避静态分析。
执行后,加载器会解析自己的 PE 标头以定位 IAT 并使用基于 XOR 的混淆键重建 API 名称。一旦解析功能就位,主有效负载就会映射到内存中,而无需接触磁盘:
// Dynamic API resolution snippet
BYTE obfName[] = {0x5F,0x23,0xA7,0x19}; // XOR key
for (DWORD i = 0; i < nameLen; ++i) {
nameBuf[i] = obfName[i] ^ encName[i];
}
HMODULE hMod = LoadLibraryA("kernel32.dll");
FARPROC pFunc = GetProcAddress(hMod, nameBuf);解决后,LunaLock 通过创建名为“SysUpdate”的隐藏计划任务来建立持久性,确保每次重新启动时执行。
然后,加载程序通过 HTTPS 向 C2 服务器发出信号,确认部署成功,然后在跨映射的网络驱动器启动 AES-256 加密。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
