В последнее время компания Cisco Talos отмечает рост активности группы 8Base, использующей для своих операций вариант программы-рансомера Phobos и другие общедоступные инструменты.
Большинство вариантов Phobos распространяются с помощью трояна SmokeLoader, представляющего собой бэкдор. Этот загрузчик обычно сбрасывает или загружает дополнительную полезную нагрузку при развертывании. Однако в кампаниях 8Base он встраивает в зашифрованную полезную нагрузку компонент ransomware, который затем расшифровывается и загружается в память процесса SmokeLoader.
Indicators of Compromise
SHA256
- 2704e269fb5cf9a02070a0ea07d82dc9d87f2cb95e60cb71d6c6d38b01869f66
- 32a674b59c3f9a45efde48368b4de7e0e76c19e06b2f18afb6638d1a080b2eb3
- 518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c
- 58626a9bfb48cd30acd0d95debcaefd188ae794e1e0072c5bde8adae9bccafa6
- a91491f45b851a07f91ba5a200967921bf796d38677786de51a4a8fe5ddeafd2
- f3be35f8b8301e39dd3dffc9325553516a085c12dc15494a5e2fce73c77069ed
- fc4b14250db7f66107820ecc56026e6be3e8e0eb2d428719156cf1c53ae139c6