8Base勒索團伙使用SmokeLoader傳播Phobos勒索軟件

研究人員最近發現由8Base團伙發起的攻擊活動有所增加，該團伙使用SmokeLoader木馬傳播Phobos勒索軟件。SmokeLoader采用了多層解密的方式釋放最終載荷文件。在初始階段，SmokeLoader采用大量隨機API調用來混淆執行流程，然后在內存中執行Shellcode并釋放執行最終的載荷。Phobos是一種典型的勒索軟件，能夠在受感染的系統中建立持久性、執行快速加密并刪除備份。2019年以后出現的Phobos勒索軟件使用自定義的AES-256加密實現，每個加密文件使用不同的隨機對稱密鑰。一旦文件被加密，用于加密的密鑰以及附加元數據將使用硬編碼的公鑰進行RSA-1024加密，并保存到文件末尾。