8ベース
二重の恐喝戦術を巧みに使い、Phobosのような既知のランサムウェアの亜種を修正したレパートリーを持つ8Baseは、重要なサイバー事件を指揮し、その執拗で進化する戦略によって世界中の数多くの組織に影響を与えてきた。
8ベースの起源
2022年4月に浮上した8Baseは、二重の恐喝戦術を採用している点が特徴である。この手法は、被害者に圧力をかけるのに効果的であるとして、サイバー犯罪者の間で人気を博している。
グループの起源や活動内容、方法論、動機は謎に包まれたままだ。
研究者は、このグループが暗号化されたファイルに「.8base」を付加するように修正したPhobosランサムウェアの亜種を使用していることを発見した。一部のサイバーセキュリティ業界では、8Baseのインフラストラクチャは、別の悪名高いランサムウェア作戦から流出したBabukビルダー(ツールセット)を使って開発されたという見方が有力だ。
また、ランサムハウスの分家という見方もある。
ターゲット
8ベースのターゲット
8Baseの対象国
8baseは主に米国、ブラジル、英国を拠点とする企業をターゲットにしていた。
ソース SOCRadar
8ベースがターゲットとする業界
8Baseは主に、さまざまな業界にまたがる中小企業(SME)を攻撃対象としている。
同グループは、ビジネスサービス、金融、製造、情報技術などのセクターに特に関心を示している。
このような特定のターゲティングは、これらの分野の企業は多額の身代金を支払う余裕がある可能性が高いという考えから生じているのかもしれないし、あるいは、それらの企業が保有するデータがより機密性が高く、価値があるとみなされているからかもしれない。
ソース SOCRadar
8ベースがターゲットとする業界
8Baseは主に、さまざまな業界にまたがる中小企業(SME)を攻撃対象としている。
同グループは、ビジネスサービス、金融、製造、情報技術などのセクターに特に関心を示している。
このような特定のターゲティングは、これらの分野の企業は多額の身代金を支払う余裕がある可能性が高いという考えから生じているのかもしれないし、あるいは、それらの企業が保有するデータがより機密性が高く、価値があるとみなされているからかもしれない。
ソース SOCRadar
8ベースの犠牲者
現在までに356人以上の被害者が8Baseの悪質な作戦の餌食になっている。
ソース ランサムウェア.ライブ
攻撃方法
8ベースの攻撃方法
8Baseのハッカーは、フィッシングキャンペーンを展開してペイロードを隠蔽したり、Angry IP Scannerのようなツールを利用して脆弱なリモート・デスクトップ・プロトコル(RDP)ポートを特定して悪用したりすることで、攻撃を開始することがよくあります。
ブルートフォース(総当たり)攻撃を用いて、公開されているRDPサービスにアクセスし、その後、被害者のプロファイルを調査し、標的となるIPとの接続を確立する。
8Baseは、トークンのなりすましや窃盗を実行することで、侵害されたシステムの制御を進めます。
このテクニックでは、DuplicateToken()関数でシステム・トークンを操作し、攻撃者が目立たないように特権を昇格させる。
この重要なステップによって、彼らは直ちに発見されることなく、システムのより機密性の高い領域にアクセスできるようになる。
ステルス性を維持し、セキュリティ防御による検知を回避するために、8Baseはいくつかの重要な戦略を採用している。
彼らは様々なプロセスを終了させ、MS Officeのような一般的に使用されているアプリケーションとセキュリティ・ソフトウェアの両方をターゲットにし、悪意のある活動にとってより脆弱な環境を作り出す。
さらに、悪意のあるファイルを難読化するためにソフトウェア・パッキングを利用し、特にPhobosランサムウェアをメモリにパッキングすることで、セキュリティ・ツールがmalware を識別してブロックすることを難しくしています。
発見フェーズでは、8BaseはWNetEnumResource()関数を使用してネットワーク共有の発見を行い、ネットワークリソースを几帳面にクロールします。
これにより、貴重なターゲットを特定し、ネットワークの構造を理解することができ、より効果的な横の動きとデータ収集が容易になる。
影響段階は、8Baseの行動が被害者に大きな混乱をもたらすまでに至る段階です。
シャドウコピーやバックアップカタログの削除、システム修復を妨げるブート設定の変更など、システム復旧を阻害するコマンドを実行する。
これらの行為は、ファイルをロックするためのAES暗号化の使用と相まって、データ復旧を困難にするだけでなく、被害者が身代金要求に応じる圧力を高める。
この段階は、8Baseが単にシステムに侵入し、ナビゲートするだけでなく、影響を受けた組織に永続的な影響を残す能力を実証している。
初期アクセス
8Baseのハッカーは、フィッシングキャンペーンを展開してペイロードを隠蔽したり、Angry IP Scannerのようなツールを利用して脆弱なリモート・デスクトップ・プロトコル(RDP)ポートを特定して悪用したりすることで、攻撃を開始することがよくあります。
ブルートフォース(総当たり)攻撃を用いて、公開されているRDPサービスにアクセスし、その後、被害者のプロファイルを調査し、標的となるIPとの接続を確立する。
特権エスカレーション
8Baseは、トークンのなりすましや窃盗を実行することで、侵害されたシステムの制御を進めます。
このテクニックでは、DuplicateToken()関数でシステム・トークンを操作し、攻撃者が目立たないように特権を昇格させる。
この重要なステップによって、彼らは直ちに発見されることなく、システムのより機密性の高い領域にアクセスできるようになる。
防御回避
ステルス性を維持し、セキュリティ防御による検知を回避するために、8Baseはいくつかの重要な戦略を採用している。
彼らは様々なプロセスを終了させ、MS Officeのような一般的に使用されているアプリケーションとセキュリティ・ソフトウェアの両方をターゲットにし、悪意のある活動にとってより脆弱な環境を作り出す。
さらに、悪意のあるファイルを難読化するためにソフトウェア・パッキングを利用し、特にPhobosランサムウェアをメモリにパッキングすることで、セキュリティ・ツールがmalware を識別してブロックすることを難しくしています。
クレデンシャル・アクセス
ディスカバリー
発見フェーズでは、8BaseはWNetEnumResource()関数を使用してネットワーク共有の発見を行い、ネットワークリソースを几帳面にクロールします。
これにより、貴重なターゲットを特定し、ネットワークの構造を理解することができ、より効果的な横の動きとデータ収集が容易になる。
横の動き
コレクション
実行
データ流出
インパクト
影響段階は、8Baseの行動が被害者に大きな混乱をもたらすまでに至る段階です。
シャドウコピーやバックアップカタログの削除、システム修復を妨げるブート設定の変更など、システム復旧を阻害するコマンドを実行する。
これらの行為は、ファイルをロックするためのAES暗号化の使用と相まって、データ復旧を困難にするだけでなく、被害者が身代金要求に応じる圧力を高める。
この段階は、8Baseが単にシステムに侵入し、ナビゲートするだけでなく、影響を受けた組織に永続的な影響を残す能力を実証している。
MITRE ATT&CK マッピング
8ベースが使用したTTP
TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
TA0002: Execution
T1129
Shared Modules
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1497
Virtualization/Sandbox Evasion
T1222
File and Directory Permissions Modification
T1202
Indirect Command Execution
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1497
Virtualization/Sandbox Evasion
T1518
Software Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1057
Process Discovery
TA0008: Lateral Movement
T1080
Taint Shared Content
TA0009: Collection
T1560
Archive Collected Data
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1490
Inhibit System Recovery
T1485
Data Destruction
プラットフォーム検出
Vectra AIを使った検知 8Baseの方法
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。
よくあるご質問(FAQ)
8ベースとは何ですか?
8Baseは、攻撃的な恐喝戦術で知られるランサムウェア・グループで、主に様々な分野の中小企業を標的としている。
特権の昇格、防御回避、データの暗号化を含む高度な攻撃チェーンを用いて、被害者から身代金を強奪する。
8Baseはどのようにしてネットワークにアクセスするのですか?
8Baseは通常、フィッシングメールやエクスプロイトキットを介して最初のアクセスを獲得し、これらのベクターを使用してランサムウェアを展開したり、標的のシステムの足掛かりを得たりする。
8ベース攻撃で最も危険なのはどの分野か?
8Baseは、ビジネスサービス、金融、製造、情報技術セクターの企業を好んで攻撃しているが、これはおそらく、そのデータの機密性の高さと、より大きな身代金を支払う能力があると思われるためである。
8Baseは特権の昇格にどのようなテクニックを使っていますか?
8Baseは、トークンのなりすましと窃取を使用して特権の昇格を行い、侵害されたシステム内でより高いアクセス・レベルを得るためにシステム・トークンを操作します。
8Baseはどのようにして検知や防御機構を回避するのか?
8Baseは、従来のセキュリティ・ツールによる検出を回避するために、セキュリティ関連のプロセスを終了させたり、ソフトウェア・パッキングによって悪意のあるファイルを難読化したりするなどのテクニックを採用している。
8Baseの侵入に対して、組織はどのように検知 、対応すればよいのだろうか?
組織は、8Baseのようなグループに特徴的なランサムウェアの活動をリアルタイムで分析・検知するAI主導の脅威検知プラットフォームを導入することで、検知およびレスポンス 機能を強化することができます。
8Baseは危険な組織にどのような影響を与えるのか?
8Baseの影響には、機密ファイルの暗号化、システム復旧作業の阻害、潜在的なデータ流出が含まれ、業務の中断、経済的損失、風評被害につながります。
8Baseランサムウェア攻撃に対する効果的な予防策とは?
効果的な対策としては、データの定期的なバックアップ、フィッシングへの認識に関する従業員トレーニング、脆弱性へのタイムリーなパッチ適用、ランサムウェアの活動を検知し軽減することができる高度なセキュリティソリューションの導入などが挙げられる。
8Baseは他のランサムウェアのグループや活動にリンクしていますか?
8Baseは、RansomHouseのような他のランサムウェアグループと関係があるか、あるいはそこから発展した可能性があると推測されている。
サイバーセキュリティの専門家は、8Baseのインシデントを調査するためにどのようなツールや戦略を利用できるのか?
サイバーセキュリティの専門家は、フォレンジック分析ツール、脅威インテリジェンスプラットフォーム、AI主導のセキュリティソリューションを活用して、インシデントを調査し、攻撃ベクトルを明らかにし、8Base の活動に関連する侵害の指標(IOC)を特定することができます。