اولین فعالیت گروه باجافزاری 8base در اوایل ۲۰۲۳ به شکل فعلی خود توسط گروههای امنیتی شناسایی شد. این گروه شباهتهای سطحی با سایر گروههای باجافزاری همچون Phobos ، RansomHouse و Hive دارد؛ ولی اثری که ارتباط بین این گروهها را تأیید کند وجود ندارد. هدف این باجافزار صرفاً سیستمهای ویندوزی بوده که کاربران این سیستمعامل را تحتتأثیر قرار داده است. سیستمهایی که مورد حمله قرار گرفتهاند از سازمانها و صنایع متفاوتی از جمله ادارات مالی، تولیدی، فناوری اطلاعات و حتی صنایع بهداشتی و دارویی بودهاند و تا به امروز اکثر قربانیان آن از کشورهای آمریکا و برزیل بوده است. طی تحقیقات صورتگرفته مشخص شد که برای گرفتن دسترسی اولیه از روشهای مختلفی همچون فیشینگ از طریق ایمیل و یا خرید شل بهواسطه دلالهای فروشندگان دسترسی (Initial Access Brokers (IABs)) استفاده شده است. بعد از گرفتن دسترسی اولیه، پیلود باجافزار بهعنوان پیلود ثانویه از طریق یک SmokeLoader (یک بدافزار اولیه که مسئولیت انتقال پیلود اصلی را دارد) به سیستم منتقل میشود.
باجافزار 8base تمام درایوهای لوکال (داخلی) را شناسایی و دادههای استاندارد با فرمتهای مشخص را با سرعت بالا، روشهای بهینه و با استفاده از AES256 و حالت CBC رمزنگاری میکند. هر نوع فایل اشتراک گذاشته شده روی شبکه یا درایو مانند (USB) نیز مورد رمزنگاری قرار میگیرد. در نهایت یک ID به قربانی تعلق میگیرد تا با مراجعه به سایت این گروه در شبکه تور، پرداخت و رمزگشایی سیستم را پیگیری کنند.
در حین انجام حمله 8base فایروال غیرفعال میشود و Volume Shadow Copies (که نوعی بکآپ از درایوهای سیستم میباشد) را از بین میبرد. همچنین مشاهده شده که پیلود برای این کار از هر دو روش WMIC و VSSADMIN استفاده کند. در ادامه از BCDEDIT.exe برای دستکاری سیاست استارتآپ سیستم قربانی استفاده شده است که قابلیت Recovery Mode و قابلیتهای مربوط به آن را غیرفعال میکند. سپس برای دسترسی ثابت (Persitence) از طریق پوشه Startup ویندوز و هم از طریق Registry بهدستآمده. همچنین چندین کپی اضافهتر نیز در محلهایی در نظر مهاجم مهم بوده قرار گرفته. در نهایت یادداشت باجافزار 8base در پوشههایی که رمزنگاری انجام شده به دو شکل TXT و HTA قرار میگیرد.
راه هایی برای کاهش این خطر پذیری
۱- عدم کلیک بروی لینکهای ناشناس و ایمیلهای مشکوک
۲- آپدیت نگهداشتن سیستمها و پچ آسیبپذیری
۳- مدیریت و از بینبردن آسیبپذیری سیستمها و شبکه
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده و جلوگیری از ایجاد دسترسی اولیه از راه دور
- جلوگیری از اجرای پیلود اولیه
- مشاهده فعالیت مشکوک و واکنش سریع به آن
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Initial Access | Persistence | Privilage Escalation | Defense Evasion | Discovery | Impact |
| Drive-by Compromise | .bash_profile and .bashrc | Abuse elevation control mechanism | Access Token Manipulation | Account Discovery | Account Access Removal |
| Exploit Public-Facing Application | Accessibility Features | Access token manipulation | Binary Padding | Application Window Discovery | Data Destruction |
| External Remote Services | Account Manipulation | Account manipulation | BITS Jobs | Browser Bookmark Discovery | Data Encrypted for Impact |
| Hardware Additions | AppCert DLLs | Boot or logon autostart execution | Bypass User Account Control | Domain Trust Discovery | Defacement |
| Replication Through Removable Media | AppInit DLLs | Boot or logon Initialization scripts | Clear Command History | File and Directory Discovery | Disk Content Wipe |
| phishing | Application Shimming | Create or modify system process | CMSTP | Network Service Scanning | Disk Structure Wipe |
| Spearphishing via Service | Authentication Package | Domain policy modification | Code Signing | Network Share Discovery | Endpoint Denial of Service |
| Supply Chain Compromise | BITS Jobs | Escape to host | Compile After Delivery | Network Sniffing | Firmware Corruption |
| Trusted Relationship | Bootkit | Event triggered execution | Compiled HTML File | Password Policy Discovery | Inhibit System Recovery |
| Valid Accounts | Browser Extensions | Exploiting for privilege escalation | Component Firmware | Peripheral Device Discovery | Network Denial of Service |
| Change Default File Association | Hijack execution flow | Component Object Model Hijacking | Permission Groups Discovery | Resource Hijacking | |
| Component Firmware | Process injection | Connection Proxy | Process Discovery | Runtime Data Manipulation | |
| Component Object Model Hijacking | scheduled task/job | Control Panel Items | Query Registry | Service Stop | |
| Create Account | Valid accounts | DCShadow | Remote System Discovery | Stored Data Manipulation | |
| DLL Search Order Hijacking | Deobfuscate/Decode Files or Information | Security Software Discovery | System Shutdown/Reboot | ||
| Dylib Hijacking | Disabling Security Tools | Software Discovery | Transmitted Data Manipulation | ||
| Emond | DLL Search Order Hijacking | System Information Discovery | |||
| External Remote Services | DLL Side-Loading | System Network Configuration Discovery | |||
| File System Permissions Weakness | Execution Guardrails | System Network Connections Discovery | |||
| Hidden Files and Directories | Exploitation for Defense Evasion | System Owner/User Discovery | |||
| Hooking | Extra Window Memory Injection | System Service Discovery | |||
| Hypervisor | File and Directory Permissions Modification | System Time Discovery | |||
| Image File Execution Options Injection | File Deletion | Virtualization/Sandbox Evasion | |||
| Kernel Modules and Extensions | File System Logical Offsets | ||||
| Launch Agent | Gatekeeper Bypass | ||||
| Launch Daemon | Group Policy Modification | ||||
| Launchctl | Hidden Files and Directories | ||||
| LC_LOAD_DYLIB Addition | Hidden Users | ||||
| Local Job Scheduling | Hidden Window | ||||
| Login Item | HISTCONTROL | ||||
| Logon Scripts | Image File Execution Options Injection | ||||
| LSASS Driver | impair defenses | ||||
| Modify Existing Service | Indicator Blocking | ||||
| Netsh Helper DLL | Indicator Removal from Tools | ||||
| New Service | Indicator Removal on Host | ||||
| Office Application Startup | Indirect Command Execution | ||||
| Path Interception | Install Root Certificate | ||||
| Plist Modification | InstallUtil | ||||
| Port Knocking | Launchctl | ||||
| Port Monitors | LC_MAIN Hijacking | ||||
| PowerShell Profile | Masquerading | ||||
| Rc.common | Modify Registry | ||||
| Re-opened Applications | Mshta | ||||
| Redundant Access | Network Share Connection Removal | ||||
| Registry Run Keys / Startup Folder | NTFS File Attributes | ||||
| Scheduled Task | Obfuscated Files or Information | ||||
| Screensaver | Parent PID Spoofing | ||||
| Security Support Provider | Plist Modification | ||||
| Server Software Component | Port Knocking | ||||
| Service Registry Permissions Weakness | Process Doppelgänging | ||||
| Setuid and Setgid | Process Hollowing | ||||
| Shortcut Modification | Process Injection | ||||
| SIP and Trust Provider Hijacking | Redundant Access | ||||
| Startup Items | Regsvcs/Regasm | ||||
| System Firmware | Regsvr32 | ||||
| Systemd Service | Rootkit | ||||
| Time Providers | Rundll32 | ||||
| Trap | Scripting | ||||
| Valid Accounts | Signed Binary Proxy Execution | ||||
| Web Shell | Signed Script Proxy Execution | ||||
| Windows Management Instrumentation Event Subscription | SIP and Trust Provider Hijacking | ||||
| Winlogon Helper DLL | Software Packing | ||||
| Space after Filename | |||||
| Template Injection | |||||
| Timestomp | |||||
| Trusted Developer Utilities | |||||
| Valid Accounts | |||||
| Virtualization/Sandbox Evasion | |||||
| Web Service | |||||
| XSL Script Processing |