8Base集团通过SmokeLoader部署新的Phobos勒索软件变种

图片

最近,8Base集团的威胁行为者通过Phobos勒索软件的变种展开了一系列金融动机的攻击。这一发现来自于思科Talos的研究结果,他们记录了网络犯罪分子活动的增加。

安全研究员Guilherme Venere在周五发表的详尽的两部分分析中表示:“该组织的大多数Phobos变种是通过SmokeLoader这个后门木马进行传播的。”他还补充道:“这种通用的加载器通常在部署时会下载或者释放额外的恶意软件。然而,在8Base的攻击活动中,它将勒索软件的组件嵌入到加密的载荷中,然后解密并加载到SmokeLoader进程的内存中。”

8Base集团在2023年中期引起了广泛关注,网络安全社区观察到了类似的攻击活动。据说该组织至少从2022年3月开始活动。VMware Carbon Black在2023年6月的一份分析报告中发现了8Base和RansomHouse之间的相似之处,还发现了一份使用“.8base”文件扩展名加密文件的Phobos勒索软件样本。这增加了8Base要么是Phobos的继任者,要么是操作背后的威胁行为者仅仅使用已有的勒索软件变种进行攻击,类似于Vice Society勒索软件组织。

思科Talos的最新研究结果显示,SmokeLoader被用作执行Phobos恶意软件的载荷,随后它会执行一系列步骤来确保持久性,终止可能保持目标文件打开的进程,禁用系统恢复功能,并删除备份以及影子副本。

另一个值得注意的特点是,该恶意软件完全加密小于1.5MB的文件,而对于超过此阈值的文件,则进行部分加密以加快加密速度。

此外,该恶意软件还包含一个加密的配置,其中包含70多个选项,并使用硬编码密钥进行加密。这些配置可以解锁额外的功能,如用户账户控制(UAC)绕过和向外部URL报告受害者感染情况。

该恶意软件还使用了一个硬编码的RSA密钥来保护用于加密的每个文件的AES密钥。Talos表示,这可能有助于解密被该勒索软件锁定的文件。

Venere解释道:“每个文件被加密后,用于加密的密钥以及其他附加元数据会使用RSA-1024和一个硬编码的公钥进行加密,并保存到文件的末尾。”他补充道:“这意味着,一旦私钥被获取,任何自2019年以来的Phobos变种加密的文件都可以可靠地解密。”

图片

Phobos勒索软件于2019年首次出现,它是Dharma(又称为Crysis)勒索软件的进化版本,根据在VirusTotal上发现的样本数量,Phobos勒索软件主要表现为Eking、Eight、Elbie、Devos和Faust等变种。

Venere表示:“这些样本都包含相同的源代码,并根据部署的变种稍有不同的配置,以避免加密其他Phobos勒索软件已经锁定的文件。这是基于勒索软件配置中的文件扩展名阻止列表。”

思科Talos评估认为,Phobos勒索软件由一个中央机构密切管理,并作为勒索软件服务(RaaS)出售给其他合作伙伴,这些合作伙伴使用相同的RSA公钥,联系电子邮件的变化以及勒索软件扩展名阻止列表的定期更新。

Venere说道:“勒索软件样本中的扩展名阻止列表似乎反映了这些组织随时间使用相同基本样本的情况。在过去的Phobos活动中,这些扩展名阻止列表不断更新,以包含在之前的Phobos活动中被锁定的新文件。这可能支持了这样一种想法,即存在一个在背后管理着构建工具的中央机构,该机构追踪过去使用Phobos的组织。这样做的目的可能是防止Phobos的合作伙伴干扰彼此的操作。”

这一发展出现在FalconFeeds披露了一名威胁行为者正在推广一款名为UBUD的复杂勒索软件产品的同时。该软件是使用C语言开发的,并具有“针对虚拟机和调试工具的强大的反检测措施”。

此外,据DataBreaches.net报道,BlackCat勒索软件组向美国证券交易委员会(SEC)提交了一份正式投诉,指控其受害者之一的MeridianLink未能遵守新的披露规定,这些规定要求受影响的公司在四个工作日内报告事件。这家金融软件公司随后确认其在11月10日遭受了网络攻击,但并未发现未经授权访问其系统的证据。

尽管SEC的披露规则将于下个月12月18日生效,但这种不寻常的压力策略表明威胁行为者正在密切关注该领域,并愿意利用政府规定来牵制受害者并迫使其支付赎金。

需要注意的是,该执行措施仅适用于公司确定攻击对其财务状况产生“实质性”影响的情况。

同时,另一家勒索软件团伙LockBit从2023年10月开始实施了新的谈判规则,原因是他们对受害者提供的赔偿金额较低以及由于“不同的合作伙伴经验水平”而提供较大的折扣感到不满。

根据Analyst1的一份详细报告,LockBit运营商表示:“根据公司的年收入,确定最低赎金要求,例如为3%,并禁止超过50%的折扣。”他们补充道:“因此,如果公司的年收入为1亿美元,初始赎金要求应该从300万美元开始,最终支付金额不得低于150万美元。”

以上是8Base集团通过SmokeLoader部署新的Phobos勒索软件变种的相关内容。请大家保持警惕,加强网络安全防护。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/200375.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

excel导入 Easy Excel

依旧是框架感觉有东西,但是确实是模拟不出来,各种零零散散的件太多了 controller层 ApiOperation(value "导入Excel", notes "导入Excel", httpMethod "POST", response ExcelResponseDTO.class)ApiImplicitParams({…

如何有效的禁止Google Chrome自动更新?

禁止Chrome自动更新 1、背景2、操作步骤 1、背景 众所周知,当我们在使用Selenium进行Web自动化操作(如爬虫)时,一般会用到ChromeDriver。然而Driver的更新速度明显跟不上Chrome的自动更新。导致我们在使用Selenium进行一些操作时就…

华为ac+fit无线2层漫游配置案例

ap的管理dhcp在ac上,业务dhcp在汇聚交换机上、并且带2层漫游 R1: interface GigabitEthernet0/0/0 ip address 11.1.1.1 255.255.255.0 ip route-static 12.2.2.0 255.255.255.0 11.1.1.2 ip route-static 192.168.0.0 255.255.0.0 11.1.1.2 lsw1: vlan batch 100…

鸿蒙系统扫盲(二):再谈鸿蒙是不是安卓套壳?

最近小米发布了澎湃OS,vivo发布了蓝OS,好像自从华为回归后,大伙都开始写自己的OS了,小米官方承认是套壳安卓,然后被大家喷了,于是鸿蒙是不是安卓套壳的话题又回到了大众的视野,今天在讨论下这个…

React函数组件状态Hook—useState《进阶-对象数组》

React函数组件状态-state 对象 state state 中可以保存任意类型的 JavaScript 值,包括对象。但是,你不应该直接修改存放在 React state 中的对象。相反,当你想要更新⼀个对象时,你需要创建⼀个新的对象(或者将其拷⻉⼀…

VS+Qt+C++ Yolov8物体识别窗体程序onnx模型

程序示例精选 VSQtC Yolov8物体识别窗体程序onnx模型 如需安装运行环境或远程调试,见文章底部个人QQ名片,由专业技术人员远程协助! 前言 这篇博客针对《VSQtC Yolov8物体识别窗体程序onnx模型》编写代码,代码整洁,规…

Spring接入Metric+Graphite+Grafana搭建监控系统

环境搭建 Metric 主要是记录操作记录,把数据传给Graphite,这个只需要引入依赖就可以了 日志收集系统,可以支持很多的监控系统一般在Spring项目中用其收集数据,可以发送到Graphite等监控系统中一般使用Merter和Timer分别记录成功…

多目标应用:基于非支配排序的蜣螂优化算法NSDBO求解微电网多目标优化调度(MATLAB)

一、微网系统运行优化模型 微电网优化模型介绍: 微电网多目标优化调度模型简介_IT猿手的博客-CSDN博客 二、基于非支配排序的蜣螂优化算法NSDBO 基于非支配排序的蜣螂优化算法NSDBO简介: https://blog.csdn.net/weixin46204734/article/details/128…

HTTPS流量抓包分析中出现无法加载key

HTTPS流量抓包分析(TLSv1.2),这篇文章分析的比较透彻,就不班门弄斧了 https://zhuanlan.zhihu.com/p/635420027 写个小问题:RSA密钥对话框加载rsa key文件的时候注意不要在中文目录下,否则会提示:“Enter the passwor…

IDEA自动注解设置(中文版)

IDEA自动注解设置 1、添加类自动注释 文件 - 设置 - 编辑器 - 文件和代码模板 - Include - File Header /** *description:TODO *author: ${USER} *create: ${DATE} ${TIME} */2、添加类方法自动注释 文件 - 设置 - 编辑器 - 实时模版 - …

米哈游大数据云原生实践

云布道师 近年来,容器、微服务、Kubernetes 等各项云原生技术的日渐成熟,越来越多的公司开始选择拥抱云原生,并将企业应用部署运行在云原生之上。随着米哈游业务的高速发展,大数据离线数据存储量和计算任务量增长迅速&#xff0c…

【剑指offer|图解|链表】链表的中间结点 + 链表中倒数第k个结点

🌈个人主页:聆风吟 🔥系列专栏:数据结构、算法模板 🔖少年有梦不应止于心动,更要付诸行动。 文章目录 📋前言一. ⛳️链表的中间结点二. ⛳️链表中倒数第k个结点📝结语 &#x1f4c…

数据结构及八种常用数据结构简介

data-structure 数据结构是一种存在某种关系的元素的集合。“数据” 是指元素;“结构” 是指元素之间存在的关系,分为 “逻辑结构” 和 “物理结构(又称存储结构)”。 常用的数据结构有 数组(array)、栈&…

C语言童年生活二三事(ZZULIOJ1091:童年生活二三事(多实例测试))

题目描述 Redraiment小时候走路喜欢蹦蹦跳跳,他最喜欢在楼梯上跳来跳去。 但年幼的他一次只能走上一阶或者一下子蹦上两阶。 现在一共有N阶台阶,请你计算一下Redraiment从第0阶到第N阶共有几种走法。 输入:输入包括多组数据。 每组数据包括一…

selenium下载安装对应的chromedriver并执行

文章目录 selenium对应版本chrome驱动下载114以及之前的chrome版本119/120/121的chrome版本 chromedriver安装执行selenium代码 selenium Selenium是广泛使用的模拟浏览器运行的库,它是一个用于Web应用程序测试的工具。 Selenium测试直接运行在浏览器中&#xff0c…

图片降噪软件 Topaz DeNoise AI mac中文版功能

Topaz DeNoise AI for Mac是一款专业的Mac图片降噪软件。如果你有噪点的相片,可以通过AI智能的方式来处理掉噪点,让照片的噪点降到最 低。有了Topaz DeNoise AI mac版处理图片更方便,更简单。 Topaz DeNoise AI mac软件功能 无任何预约即可在…

Linux进程通信——消息队列

概念 消息队列,是消息的链接表,存放在内核中。一个消息队列由一个标识符(即队列ID)来标识。 特点 1.消息队列是面向记录的,其中的消息具有特定的格式以及特定的优先级。(消息队列是结构体) 2.消息队列独立于发送与接…

【数据结构】栈详解

目录 1. 前言2. 栈2.1 栈的概念及结构2.2 如何实现栈2.3 数组栈实现2.3.1 top怎么确定2.3.2 栈顶插入2.3.2.1 栈顶插入分析2.3.2.2 栈顶插入代码实现 2.3.3 栈顶删除2.3.4 判空2.3.4.1 分析2.3.4.2 代码实现 2.3.5 栈的元素个数2.3.6 栈销毁2.3.7 栈访问数据 3. 源代码3.1 Stac…

从零开始的C++(十八)

avl树中insert的模拟实现 avl树特点: 1.是搜索二叉树 2.每个结点的左右子树高度差的绝对值不超过2 inser模拟实现: // 右单旋void RotateR(Node* pParent){Node* parent pParent;Node* pr parent->_pRight;Node* prl pr->_pLeft;//记录父节点…

【设计模式】结构型设计模式

结构型设计模式 文章目录 结构型设计模式一、概述二、适配器模式(Adapter Pattern)2.1 类适配器模式2.2 对象适配器模式2.3 接口适配器模式2.4 小结 三、桥接模式(Bridge Pattern)四、装饰器模式(Decorator Pattern&am…