8Base集团通过SmokeLoader部署新的Phobos勒索软件变种

news2024/11/17 9:27:26

图片

最近,8Base集团的威胁行为者通过Phobos勒索软件的变种展开了一系列金融动机的攻击。这一发现来自于思科Talos的研究结果,他们记录了网络犯罪分子活动的增加。

安全研究员Guilherme Venere在周五发表的详尽的两部分分析中表示:“该组织的大多数Phobos变种是通过SmokeLoader这个后门木马进行传播的。”他还补充道:“这种通用的加载器通常在部署时会下载或者释放额外的恶意软件。然而,在8Base的攻击活动中,它将勒索软件的组件嵌入到加密的载荷中,然后解密并加载到SmokeLoader进程的内存中。”

8Base集团在2023年中期引起了广泛关注,网络安全社区观察到了类似的攻击活动。据说该组织至少从2022年3月开始活动。VMware Carbon Black在2023年6月的一份分析报告中发现了8Base和RansomHouse之间的相似之处,还发现了一份使用“.8base”文件扩展名加密文件的Phobos勒索软件样本。这增加了8Base要么是Phobos的继任者,要么是操作背后的威胁行为者仅仅使用已有的勒索软件变种进行攻击,类似于Vice Society勒索软件组织。

思科Talos的最新研究结果显示,SmokeLoader被用作执行Phobos恶意软件的载荷,随后它会执行一系列步骤来确保持久性,终止可能保持目标文件打开的进程,禁用系统恢复功能,并删除备份以及影子副本。

另一个值得注意的特点是,该恶意软件完全加密小于1.5MB的文件,而对于超过此阈值的文件,则进行部分加密以加快加密速度。

此外,该恶意软件还包含一个加密的配置,其中包含70多个选项,并使用硬编码密钥进行加密。这些配置可以解锁额外的功能,如用户账户控制(UAC)绕过和向外部URL报告受害者感染情况。

该恶意软件还使用了一个硬编码的RSA密钥来保护用于加密的每个文件的AES密钥。Talos表示,这可能有助于解密被该勒索软件锁定的文件。

Venere解释道:“每个文件被加密后,用于加密的密钥以及其他附加元数据会使用RSA-1024和一个硬编码的公钥进行加密,并保存到文件的末尾。”他补充道:“这意味着,一旦私钥被获取,任何自2019年以来的Phobos变种加密的文件都可以可靠地解密。”

图片

Phobos勒索软件于2019年首次出现,它是Dharma(又称为Crysis)勒索软件的进化版本,根据在VirusTotal上发现的样本数量,Phobos勒索软件主要表现为Eking、Eight、Elbie、Devos和Faust等变种。

Venere表示:“这些样本都包含相同的源代码,并根据部署的变种稍有不同的配置,以避免加密其他Phobos勒索软件已经锁定的文件。这是基于勒索软件配置中的文件扩展名阻止列表。”

思科Talos评估认为,Phobos勒索软件由一个中央机构密切管理,并作为勒索软件服务(RaaS)出售给其他合作伙伴,这些合作伙伴使用相同的RSA公钥,联系电子邮件的变化以及勒索软件扩展名阻止列表的定期更新。

Venere说道:“勒索软件样本中的扩展名阻止列表似乎反映了这些组织随时间使用相同基本样本的情况。在过去的Phobos活动中,这些扩展名阻止列表不断更新,以包含在之前的Phobos活动中被锁定的新文件。这可能支持了这样一种想法,即存在一个在背后管理着构建工具的中央机构,该机构追踪过去使用Phobos的组织。这样做的目的可能是防止Phobos的合作伙伴干扰彼此的操作。”

这一发展出现在FalconFeeds披露了一名威胁行为者正在推广一款名为UBUD的复杂勒索软件产品的同时。该软件是使用C语言开发的,并具有“针对虚拟机和调试工具的强大的反检测措施”。

此外,据DataBreaches.net报道,BlackCat勒索软件组向美国证券交易委员会(SEC)提交了一份正式投诉,指控其受害者之一的MeridianLink未能遵守新的披露规定,这些规定要求受影响的公司在四个工作日内报告事件。这家金融软件公司随后确认其在11月10日遭受了网络攻击,但并未发现未经授权访问其系统的证据。

尽管SEC的披露规则将于下个月12月18日生效,但这种不寻常的压力策略表明威胁行为者正在密切关注该领域,并愿意利用政府规定来牵制受害者并迫使其支付赎金。

需要注意的是,该执行措施仅适用于公司确定攻击对其财务状况产生“实质性”影响的情况。

同时,另一家勒索软件团伙LockBit从2023年10月开始实施了新的谈判规则,原因是他们对受害者提供的赔偿金额较低以及由于“不同的合作伙伴经验水平”而提供较大的折扣感到不满。

根据Analyst1的一份详细报告,LockBit运营商表示:“根据公司的年收入,确定最低赎金要求,例如为3%,并禁止超过50%的折扣。”他们补充道:“因此,如果公司的年收入为1亿美元,初始赎金要求应该从300万美元开始,最终支付金额不得低于150万美元。”

以上是8Base集团通过SmokeLoader部署新的Phobos勒索软件变种的相关内容。请大家保持警惕,加强网络安全防护。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1235352.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

OpenGL_Learn14(光照贴图)

1. 漫反射贴图 在光照场景中,它通常叫做一个漫反射贴图(Diffuse Map)(3D艺术家通常都这么叫它),它是一个表现了物体所有的漫反射颜色的纹理图像。 我们会将纹理储存为Material结构体中的一个sampler2D 。我们将之前定义的vec3漫反…

元素定位与选择器

元素定位与选择器 做元素定位时,你是否曾遇到过以下难题 元素 ID 或 class 是动态生成的你使用了 CSS选择器去定位,但开发把元素CSS样式改掉了 这种情况下通常会测试失败 Cypress 如何解决上述难题 提供了 data-* 属性,包含了下面三个定…

阿里8年经验之谈 —— 分享一次接口性能摸底测试过程!

接口性能测试是用于验证应用程序中的接口是否可以满足系统的性能要求的一种测试方法。确定应用程序在各种负载条件下的性能指标,例如响应时间、吞吐量、并发性能等,以便提高系统的性能和可靠性。本文主要讲述接口性能测试从前期准备、方案设计到环境搭建…

数字化转型导师坚鹏:数字化时代银行网点厅堂营销5大关键点分析

数字化时代银行网点厅堂营销需要抓住以下5大关键点: 1、精准识别客户:在数字化时代,银行网点厅堂营销的关键在于精准识别客户。通过利用大数据和人工智能技术,银行可以分析客户的行为和需求,从而更好地了解客户&#…

Win10 电源选项那选择“关闭显示器“为1分钟,1分钟后就锁屏了?怎么才能关闭显示器后不锁屏

环境: Win10专业版 问题描述: Win10 电源选项那选择"关闭显示器"为1分钟,1分钟后就锁屏了?怎么才能关闭显示器后不锁屏 解决方案: 方法一 更改注册表可以实现关闭显示器而不锁屏的效果。请按照以下步骤…

雷电模拟器报错:g_bGuestPoweroff.fastpipeapi. cpp_1153_1161

文章目录 一、报错详情:二、解决:【1】设置Windows功能【2】设置cmd(管理员身份)【3】重启电脑 三、windows10其中1809版本出现1153、1161,需要关闭内核隔离 一、报错详情: 二、解决: 【1】设置…

go语言学习之旅之Go 语言指针

学无止境,今天继续学习go语言的基础内容 Go语言支持指针,允许你在程序中直接操作变量的内存地址。指针存储了变量的内存地址,通过指针,你可以直接访问或修改该地址上的值。 学习过c语言的一定知道指针 定义指针 在Go语言中&…

卷积神经网络(ResNet-50)鸟类识别

文章目录 卷积神经网络(CNN)mnist手写数字分类识别的实现卷积神经网络(CNN)多种图片分类的实现卷积神经网络(CNN)衣服图像分类的实现卷积神经网络(CNN)鲜花的识别卷积神经网络&#…

芯片IO口不加电阻会怎样?

芯片IO口不加电阻会怎样? 可能会导致以下几个后果: 1.高电流问题,IO口没有电阻限流,当与外部设备直接连接时,就可能会导致过大的电流流过IO口,这就可能损坏IO口,引起短路或烧坏其它电路组件。像…

设计模式-访问者模式-笔记

Visitor模式 动机(Morivation) 在软件构建过程中,由于需求的变化,某些类层次结构中常常需要增加新的行为(方法),如果直接在基类中做这样的更改,将会给子类带来很繁重的变更负担&am…

4. Pandas行列操作

4.1 新增列 4.1.1 assign Pandas中的assign()函数不仅可以实现不改变原数据情况下新增列,而且可以同时新增多列,还可以配合链式操作使用一行代码完成多个新增列创建,使得代码非常整洁。 (1)函…

【GitHub】保姆级使用教程

一、如何流畅访问GitHub 1、网易uu加速器 输入网址,无脑下载网易加速器;https://uu.163.com/ 下载安装完毕后,创建账号进行登录 登录后,在右上角搜索框中搜索“学术资源”,并点击; 稍等一会儿就会跳…

如何使用SD-WAN提升物流供应链网络效率

案例背景 本次分享的物流供应链企业是一家国际性的大型企业,专注于提供全球范围内的物流和供应链解决方案。案例用户在不同国家和地区均设有多个分支机构和办公地点,以支持客户需求和业务运营。 在过去,该企业用户使用传统的MPLS网络来连接各…

微信小程序知识付费平台,公众号App+SAAS+讲师端,多端部署

三勾知识付费系统基于thinkphp8element-plusuniapp打造的面向开发的知识付费系统,方便二次开发或直接使用,可发布到多端,包括微信小程序、微信公众号、QQ小程序、支付宝小程序、字节跳动小程序、百度小程序、android端、ios端。 功能包含直播…

2023 最新 PDF.js 在 Vue3 中的使用(长期更新)

因为自己写业务要定制各种 pdf 预览情况(可能),所以采用了 pdf.js 而不是各种第三方封装库,主要还是为了更好的自由度。 一、PDF.js 介绍 官方地址 中文文档 PDF.js 是一个使用 HTML5 构建的便携式文档格式查看器。 pdf.js 是社区…

scala的schema函数(算子)

在翻阅一些代码的时候,schema算子好像没碰到过,比较好奇structField这个类型,为什么可以直接用name参数,就翻阅了下资料: 在 Apache Spark 中,DataFrame 是一种分布式的数据集,它是以类似于关系…

SO3 与so3 SE3与se3 SIM3

文章目录 1 旋转*叉乘1.1 旋转矩阵的导数1.2 物理意义1.3 实例1.4 角轴与反对称矩阵 2 SO3 与so32.1 so3 2 SO32.2 SO3 2 so3 3 SE3 与se33.1 se3 2 SE3:3.2 SE3 2 se3 4 SIM3 与sim35 Adjoint Map 1 旋转*叉乘 1.1 旋转矩阵的导数 根据旋转矩阵的性质: R R T I …

ANSYS中如何手动为装配体添加接触约束教程

接触的类型: 在接触类型(Type)选项中,软件共提供了绑定接触(Bonded)、不分离接触(No Separation)、无摩擦接触(Frictionless)、粗糙接触(Rough&a…

C++ STL -->string类

文章目录 STL什么是STL String类string类对象的构造方式string类对象的容量操作string类对象的访问及遍历操作string迭代器函数遍历类对象 stirng类对象的修改操作string类非成员函数 STL 什么是STL STL全称standard template libaray-标准模板库 是C标准库的重要组成部分 不…

【EI会议征稿】第四届公共管理与智能社会国际学术会议(PMIS 2024)

第四届公共管理与智能社会国际学术会议(PMIS 2024) 2024 4th International Conference on Public Management and Intelligent Society 第四届公共管理与智能社会国际学术会议将在2024年3月15-17日在长沙召开。PMIS 2024由中南大学社会计算研究中心、中南大学公共…