Intel-Ops 正在积极跟踪经评估属于 8Base 勒索软件组织(Phobos 勒索软件运营商)的基础设施。我们的威胁英特尔客户将主动阻止这一威胁。
Phobos 运营勒索软件即服务模式,利用该勒索软件的组织的目标是:
“县政府、紧急服务、教育、公共医疗和其他关键基础设施实体成功赎回数百万美元。”
据评估,Phobos 是一种勒索软件即服务 (RaaS),具有多种变体(Eking、Eight、Elbie、Devos 和 Faust)以及一组分散的附属机构,这些附属机构共享非常相似的 TTP。Cisco Talos 以中等信心评估,认为有一个中央机构持有与 Phobos 变体相关的所有活动的私钥。
8Base 勒索软件集团
利用 Phobos 勒索软件的组织是 8Base 勒索软件组织,该组织在 2023 年中期至 2024 年期间一直非常活跃。该组织被认为是经验丰富的勒索软件操作者的集合。8Base 通过将“.8base”附加到其加密文件中来添加自己的品牌定制,并稍微修改 Phobos 模板中的勒索信息。如下图所示,2023 年 6 月,行动和受害者显着增加,自 2023 年 12 月以来,该组织现在定期在一天内发布多名受害者,这可能会促使 CISA 发布建议:
来源: ransomware.live
受害者
通过https://www.fortinet.com/blog/threat-research/ransomware-roundup-8base,我们可以看到,与许多勒索软件团体一样,广泛的垂直行业都受到了 8Base 的影响。截止日期:2023 年 12 月。
8base 勒索软件针对的主要目标部门(来源:FortiRecon)
同样,8Base 的受害者也以西方组织为主。
8base 勒索软件受害国家最多(来源:FortiRecon)
Smokeloader 和 SystemBC
SmokeLoader后门具有一系列功能,这些功能取决于任何给定的恶意软件版本中包含的模块。该恶意软件以多种方式传播,并因其使用随机 API 函数调用和多阶段解密过程的欺骗和自我保护而臭名昭著。该恶意软件经常尝试通过向合法网站(例如 microsoft.com、bing.com、adobe.com 等)生成请求来隐藏其 C2 活动。通常,实际下载会返回 HTTP 404,但响应正文中仍包含数据。
SystemBC主要用作 SOCKS5 代理,允许受害者计算机和攻击者基础设施之间进行交互,以执行命令、部署额外的有效负载或窃取数据。据报道,SystemBC 与 Smokeloader、Gootloader 和 ModernLoader 等加载器相关。近年来,它越来越受欢迎,其使用情况与多种勒索软件组织有关,例如 Cuba、BlackBasta、Play(现在为 BlackSuit)、Rhysida、8Base 等。
据 VMware 的 Carbon Black 报道,8Base在入侵中使用了Smokeloader和SystemBC :
“8base 使用 SystemBC 来加密命令和控制流量,并使用 Smokeloader,在 Phobos 勒索软件的进入、解包和加载过程中对勒索软件进行初步混淆。”
Cisco Talos 遵循以下描述:
“8base 样本是从域admlogs25[.]xyz下载的,该域似乎与代理和远程管理工具 SystemBC 相关。SystemBC 已被其他勒索软件组织用作加密和隐藏攻击者命令和控制流量的目的地的一种方法。8base 使用 SystemBC 来加密命令和控制流量以及 Smokeloader,从而在 Phobos 勒索软件的进入、解包和加载过程中对勒索软件进行初步混淆。”
8Base基础设施
Intel-Ops 一直在跟踪与 8Base 相关的一系列基础设施。归因基于具有 .8base 扩展名的文件样本,该文件样本与数据集中的多个域进行通信。域名的命名约定遵循与 8Base 类似的格式以及 C2 基础设施的通用属性。
在此数据集中,我们识别了 Smokeloader 和 SystemBC 样本。我们将把这个基础设施分成几个部分,分别是域名、托管和文件。
以下 Maltego 图中显示了 Intel-Ops 跟踪的基础设施。节点的大小与到下游节点的传出链路的数量相关。例如8Base根节点->IP->域->通信文件:
上图是了解 8Base 如何利用基础设施的好方法。我们可以看到,根据提交给 VirusTotal 的域(IP 和域)文件之间的连接数量,有许多域和 IP 地址的利用率更高。例如,域 servermlogs27[.]xyz 至少自 2023 年 10 月起开始运行,demstat577d[.]xyz 至少自 2023 年 7 月起开始运行,并且拥有最多的提交文件。然而,仍然有大量链接到 8Base 的域名和 IP 地址在相似的时间内处于活动状态,例如 IP 46.36.218[.]224 上的 fexstat227[.]xyz,直到现在才突然出现2月底提交的样品数量激增。正如我们将在下一节中看到的,该基础设施自 6 月和 7 月左右以来已经部署并试运行。
域名
Intel-Ops 已识别出 45 个与 8Base 相关的域。
在已确定的 45 个域名中,其中 43 个属于 .xyz TLD,2 个属于 .net 和 .pro TLD。此外,域的长度范围为 5-13 个字符,平均长度为 9 个字符。45 个域中的 42 个还包含附加到域字符串末尾的 2-3 个随机数值的字符串。
此外,Intel-Ops 使用 VirusTotal 中的 PassiveDNS 记录来了解域何时解析为 A 记录:
正如我们提到的,在相对较短的时间内发生了大量 DNS 更改,许多域每隔几天就会循环使用 IP 地址。然后,在 11 月份,这种情况停止了,域和 IP 之间的 DNS 活动保持非常静态。这可能表明我们已经观察到了当前活动集群中可能看到的所有活动域。
病毒总分
有趣的是,尽管 8Base 的名声越来越大,并且使用了 Smokeloader 和 SystemBC,但对它们用于命令和控制的域的检测率仍然很低。其中 18 个域在 VirusTotal 中具有 0 个通信文件,这对检测率没有实际影响。例如,zopte234[.]xyz 具有最高的检测率,但没有通信文件。有趣的是,没有任何数值的域具有 0 VT 检测或通信文件,并且自 2023 年 6 月以来一直处于停放状态。平均 VT 检测分数为10/89。
Domain VT 检测分数
IP地址
那么我们的 45 个 IP 地址都解析到哪里呢?那么,位于德国或爱沙尼亚的 22 个 IP 地址由 3 个托管提供商托管:Hetzner、ITP-Solutions GmbH & Co. KG 和 Pagm Ou。
当我们检查 VirusTotal 中 IP 地址的检测率时,发现任何检测都显着下降。早在 2023 年 7 月,8Base 使用的 IP 地址中有63%的检测分数仍然保持为 0,不归因于 8Base:
这些分数并不意味着它们还没有解析提交给 VirusTotal 的域或通信文件。如果我们取上图中底部的两个 IP 地址。45.131.66[.]34 在 2023 年 9 月提交了两个文件,随后在 2024 年 2 月提交了 6 个文件。自 2023 年 7 月以来,45.89.127[.]23 一直是 admlogs85[.]xyz 的 A 记录,但是没有文件已提交。或者,检测到的排名靠前的 IP 仅在 2023 年 7 月和 2024 年 2 月有两个提交的文件。这些 IP 地址的平均 VT 检测分数为1/89。
通讯文件
在Intel-Ops 跟踪的22 个IP 地址中,只有10个有提交给 VirusTotal 的通信文件。总共,我们已经确定了提交给 VirusTotal 的50 个独特文件样本,这些样本链接到 Smokeloader (33)、SystemBC (16)和单个 Meterpreter 有效负载。
让我们按名称来分解一下:
我们直接从 VirusTotal 获取通信文件名,并检查您可能期望在受感染环境中看到的文件命名约定。观察命名约定时,似乎有 2 个簇或文件。第一个集群,也是最常观察到的集群,是包含“111”字符串的文件。第二个似乎是仅使用字符随机生成的文件。文件名和关联的域/IP 通信之间没有显着差异。
那么文件是什么时候提交的呢?
VirusTotal 中的文件提交日期
由于 CISA 报告的发布时间,我们预计 8Base 等 Phobos 勒索软件组织的活动将会增加,但提交数量大幅增加,单日就有 20 个文件提交给 VirusTotal 进行分析:2002 年 2 月 26 日/2024。我们的评估是,很可能只有一个组织(例如 CISA)对提交的文件进行了分析,而不是许多受害者在同一天提交的文件。
因此,让我们将所有内容整合到一个时间线图中:
当我们从各种数据集中提取日期以了解活动频率时,我们可以看到,虽然在 2023 年下半年一直处于活动状态,但 DNS 活动似乎与速度相匹配。然而,11 月之后,DNS 更改和向 VirusTotal 的文件提交出现了大幅平静。2024 年 1 月恢复受害者发帖后,我们看到提交给 VirusTotal 的文件数量急剧增加,这证实了我们跟踪的基础设施仍然非常活跃。
调查结果摘要
Intel-Ops 正在跟踪链接到 8Base 基础设施的超过45 个域,与 CISA 报告的3 个域的命名约定相匹配。
Intel-Ops 正在跟踪与 8Base 基础设施相关的超过22 个 IP,这些 IP 托管在德国、荷兰和爱沙尼亚。
Intel-Ops 将50 个独特的恶意样本归因于 8Base 基础设施,其中已识别出33 个独特的 Smokeloader样本、16 个独特的 SystemBC样本和1 个 Meterpreter有效负载。
这些样本中的大部分已于2024 年 2 月提交给 VirusTotal。
尽管 8Base 遭受了大量且引人注目的攻击,但该基础设施的大部分仍未被发现且未归因于 8Base。
8Base 数据泄露网站
在撰写本报告时,8Base 勒索软件组织的数据泄露站点托管在92.118.36[.]204上,ISP:Alviva Holding Limited。
IOCs
IP地址:
45.131.66.120
185.234.72.182
45.89.127.232
91.200.102.159
45.89.127.242
185.234.72.100
45.131.66.222
45.89.127.226
45.138.48.20
45.131.66.236
5.182.206.85
91.200.100.51
212.87.212.72
45.131.66.20
88.198.0.181
193.31.28.198
46.36.218.224域名:
gentexlog238.xyz
zopte234.xyz
moknex158.xyz
zxvad95.xyz
xemtex534.xyz
mkhexlogs215.xyz
mktexlog238.xyz
amx55.xyz
zxmextog23.xyz
mkstat227.xyz
sentrex219.xyz
mksad917.xyz
mktrex219.xyz
mxzex322.xyz
mentran450.xyz
moplex355.xyz
adstat477d.xyz
samnex158.xyz
fexstat227.xyz
fexstat257.xyz
servblog757.xyz
servermlogs27.xyz
blogxstat38.xyz
serverxlogs21.xyz
dexblog45.xyz
kmsox815.xyz
adstat277xm.xyz
amx15.xyz
cexsad917.xyz
admxlogs25.xyz
demblog289.xyz
admlogs85.xyz
kmstat355mx.xyz
demstat377xm.xyz
admhexlogs215.xyz
servxblog79.xyz
amx395.xyz
demstat577d.xyz
admxlogs215.xyz
amx75.xyz
mxtmx.xyz
blogserv.xyz
mexstat.pro
advserv.xyz
privat1505.xyz
piserver22.net参考链接: https://medium.com/@Intel_Ops/phobos-ransomware-analysing-associated-infrastructure-used-by-8base-646560302a8d
图片来源网络目标可联系删除
