クローボットからオープンクローへ:デジタル裏口としての自動化
ブログを読む

クローボットからオープンクローへ:デジタル裏口としての自動化ブログを読む →

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
ランサムウェア・グループ

8BASE

  1. ステータス:
    非アクティブ
  1. ステータス:
    非アクティブ

8Baseは、二重恐喝戦術を巧みに活用し、Phobosなどの既知ランサムウェアの改変版を含む手口で、世界中の数多くの組織に影響を与える重大なサイバーインシデントを仕掛けてきた。その執拗かつ進化し続ける戦略によって、被害は拡大し続けている。

8BaseのTTP検知
ランサムウェア攻撃に対して安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくある質問 (FAQ)
脅威ブリーフィングを見る
背景
対象国
産業
被害者

8Baseの起源

2022年3月に出現した8Baseランサムウェアグループは、初期の攻撃以降、比較的静かな状態を保っていました。しかし、2023年5月中旬から6月にかけて活動が急増し、様々な業種の組織を標的とし、わずか3ヶ月で131人の被害者を記録しました。8Baseは、被害者への圧力効果の高さからサイバー犯罪者の間で人気が高まっている二重脅迫戦術を採用しています。2023年3月には、データ漏洩サイトを立ち上げ、誠実で簡潔なコミュニケーションをイメージさせる活動を展開しました。

このグループの活動の起源、その全容、手法、そして動機は、依然として謎に包まれています。興味深いことに、8Baseは独自に開発したランサムウェアを持っていません。その代わりに、研究者たちは、このグループが流出したランサムウェアビルダー(例えば、暗号化されたファイルに「.8base」を追加するように改変したPhobosランサムウェアの亜種)を利用して身代金要求メッセージをカスタマイズし、攻撃を自らの活動であるかのように見せかけていることを発見しました。VMwareは、8BaseとランサムウェアグループRansomHouseの類似点を指摘するレポートを公開し、両者のウェブサイトと身代金要求メッセージの類似点を指摘しました。一部のサイバーセキュリティ関係者の間では、8Baseのインフラは、別の悪名高いランサムウェア活動から流出したツールセットであるBabukビルダーを使用して開発されたという説が有力ですが、一方でRansomHouseの派生であると考える人もいます。

2025年2月、大規模な国際法執行機関による捜査の結果、8Baseグループに関与していたロシア国籍の人物4名が逮捕されました。この取り締まりはPhobosランサムウェアも標的とし、同グループのネットワークに接続されたサーバー27台が押収されました。これは、ランサムウェア攻撃を阻止するために世界各国の当局が協調して取り組む動きが高まっている中での措置であり、ユーロポールは情報交換と国境を越えた協力の促進において重要な役割を果たしています。

出典:OCD

8Baseの標的国

8baseは主に米国、ブラジル、英国を拠点とする企業をターゲットにしていました。

ソース: ラransomware.live

8Baseがターゲットとする業界

8Baseは主に中小企業 (SME) を標的とし、その攻撃対象は様々な業界に及びました。  

このグループは、ビジネスサービス、金融、製造、情報技術などの分野に特に関心を示しました。

この特定のターゲット設定は、これらの分野の企業は多額の身代金を支払う可能性が高いと考えているため、またはこれらの企業が保有するデータがより機密性が高く、価値があると考えられるためである可能性があります。

ソース SOCRadar

Manufacturing

Financial Services and Banking

Technology

Healthcare

8Baseの被害対象

455人の被害者が8Baseの悪質な作戦の餌食になっている。

ソース: ラransomware.live

攻撃方法

8Baseの攻撃方法

初期アクセス
権限昇格
粘り強さと防御回避
クレデンシャル・アクセス
ディスカバリー
ラテラルムーブ
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

8Base のハッカーは、多くの場合、フィッシング キャンペーンを展開して隠されたペイロードを配信したり、Angry IP Scanner などのツールを使用して脆弱なリモート デスクトップ プロトコル (RDP) ポートを識別して悪用したりして攻撃を開始します。

彼らは、公開されている RDP サービスにアクセスするために ブルート フォース攻撃 を使用し、その後、被害者のプロファイルを作成し、標的の IP との接続を確立するための調査を実施しました。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

8Base は、トークンのなりすましと盗難を実行することで、侵害を受けたシステムに対する制御を強化しました。

この手法では、DuplicateToken() 関数を使用してシステム トークンを操作し、攻撃者が慎重に権限を昇格できるようにします。

この重要なステップにより、即座に検知されることなく、システムのより機密性の高い領域にアクセスできるようになりました。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

ステルス性を維持し、セキュリティ防御による検出を回避するために、8Base はいくつかの重要な戦略を採用しました。

攻撃者は、MS Office などのよく使用されるアプリケーションとセキュリティ ソフトウェアの両方をターゲットにして、さまざまなプロセスを終了し、悪意のある活動に対してより脆弱な環境を作り出しました。

さらに、彼らはソフトウェア パッキングを利用して悪意のあるファイルを難読化し、具体的には Phobos ランサムウェアをメモリにパッキングして、セキュリティ ツールによるマルウェアの識別とブロックを困難にしました。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

ディスカバリーフェーズでは、8Base は WNetEnumResource() 関数を使用してネットワーク共有の検出を実行し、ネットワーク リソースを系統的にクロールしました。

これにより、貴重なターゲットを特定し、ネットワークの構造を理解することができ、より効果的なラテラルムーブメントとデータ収集を促進できるようになりました。

相互接続された一連のノードと、その間をひそかに移動する影のような姿。これはネットワーク内を移動する攻撃者の動きを示しており、追加システムの制御獲得や拡散を企てている。 マルウェア。
大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

影響段階は、8Base の行為が被害者に重大な混乱をもたらした段階です。

攻撃者は、シャドウ コピーやバックアップ カタログの削除、システムの修復を防ぐためのブート構成の変更など、システムの回復を妨げるコマンドを実行しました。

これらの行為は、ファイルをロックするための AES 暗号化の使用と相まって、データの復旧を困難にするだけでなく、被害者が身代金要求に応じるプレッシャーも増大させます。

このフェーズでは、8Base がシステムに侵入して移動するだけでなく、影響を受けた組織に永続的な影響を与える能力があることが実証されました。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

8Base のハッカーは、多くの場合、フィッシング キャンペーンを展開して隠されたペイロードを配信したり、Angry IP Scanner などのツールを使用して脆弱なリモート デスクトップ プロトコル (RDP) ポートを識別して悪用したりして攻撃を開始します。

彼らは、公開されている RDP サービスにアクセスするために ブルート フォース攻撃 を使用し、その後、被害者のプロファイルを作成し、標的の IP との接続を確立するための調査を実施しました。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
権限昇格

8Base は、トークンのなりすましと盗難を実行することで、侵害を受けたシステムに対する制御を強化しました。

この手法では、DuplicateToken() 関数を使用してシステム トークンを操作し、攻撃者が慎重に権限を昇格できるようにします。

この重要なステップにより、即座に検知されることなく、システムのより機密性の高い領域にアクセスできるようになりました。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

ステルス性を維持し、セキュリティ防御による検出を回避するために、8Base はいくつかの重要な戦略を採用しました。

攻撃者は、MS Office などのよく使用されるアプリケーションとセキュリティ ソフトウェアの両方をターゲットにして、さまざまなプロセスを終了し、悪意のある活動に対してより脆弱な環境を作り出しました。

さらに、彼らはソフトウェア パッキングを利用して悪意のあるファイルを難読化し、具体的には Phobos ランサムウェアをメモリにパッキングして、セキュリティ ツールによるマルウェアの識別とブロックを困難にしました。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス
拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

ディスカバリーフェーズでは、8Base は WNetEnumResource() 関数を使用してネットワーク共有の検出を実行し、ネットワーク リソースを系統的にクロールしました。

これにより、貴重なターゲットを特定し、ネットワークの構造を理解することができ、より効果的なラテラルムーブメントとデータ収集を促進できるようになりました。

相互接続された一連のノードと、その間をひそかに移動する影のような姿。これはネットワーク内を移動する攻撃者の動きを示しており、追加システムの制御獲得や拡散を企てている。 マルウェア。
ラテラルムーブ
大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出
ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

影響段階は、8Base の行為が被害者に重大な混乱をもたらした段階です。

攻撃者は、シャドウ コピーやバックアップ カタログの削除、システムの修復を防ぐためのブート構成の変更など、システムの回復を妨げるコマンドを実行しました。

これらの行為は、ファイルをロックするための AES 暗号化の使用と相まって、データの復旧を困難にするだけでなく、被害者が身代金要求に応じるプレッシャーも増大させます。

このフェーズでは、8Base がシステムに侵入して移動するだけでなく、影響を受けた組織に永続的な影響を与える能力があることが実証されました。

MITRE ATT&CK マッピング

8Baseが使用するTTP

TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
TA0002: Execution
T1129
Shared Modules
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1497
Virtualization/Sandbox Evasion
T1222
File and Directory Permissions Modification
T1202
Indirect Command Execution
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1497
Virtualization/Sandbox Evasion
T1518
Software Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1057
Process Discovery
TA0008: Lateral Movement
T1080
Taint Shared Content
TA0009: Collection
T1560
Archive Collected Data
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1490
Inhibit System Recovery
T1485
Data Destruction
プラットフォーム検知

Vectra AIで脅威アクターを検知する方法

Vectra AI プラットフォームで利用可能なランサムウェア攻撃を示す検知

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

もっと見る
攻撃の危険性を評価する

ランサムウェア攻撃に対して安全ですか?

攻撃の危険性を評価する

よくある質問 (FAQ)

8Baseとは何ですか?

8Baseはどのようにしてネットワークにアクセスするのですか?

8Base攻撃で最も危険なのはどの分野か?

8Baseは特権の昇格にどのようなテクニックを使っているのか?

8Baseはどのようにして検知や防御機構を回避するのか?

組織はどのようにして 8Base の侵入を検知し、対応できるのでしょうか?

8Base は侵害を受けた組織にどのような影響を与えますか?

8Baseランサムウェア攻撃に対する効果的な予防策とは?

8Baseは他のランサムウェアのグループや活動にリンクしていますか?

サイバーセキュリティの専門家は、8Baseのインシデントを調査するためにどのようなツールや戦略を利用できるのか?