By | 2 آذر 1403
باج افزار Phobos

باج افزار Phobos داده ها را رمزگذاری و درخواست باج می کند!

در این مقاله قصد داریم به شرح Phobos Ransomware بپردازیم. Phobos یک باج افزار از نوع Ransomware-as-a-Service (RaaS) است. آسیب‌پذیری‌های مورد استفاده در Phobos Ransomware پورت‌های مورد استفاده در پروتکل دسکتاپ از راه دور (RDP)، گذرواژه‌های ضعیف و حملات فیشینگ است.

باج افزار Phobos

باج افزار Phobos یک تهدید مهم برای امنیت سازمان می باشد و به شدت در حال افزایش است، به ویژه بخش های مهمی مانند بیمارستان ها، سایت های دولت و مراکز آموزشی را هدف قرار می دهد. از زمان ظهور باج افزار Phobos در سال 2019، Phobos با رمزگذاری داده ها و درخواست باج، به ایجاد اختلالات گسترده ادامه داده است.

باج افزار Phobos

از سال 2019 کلید RSA در همه انواع Phobos Ransomware استفاده می شود

باج افزار Phobos در حملات به شبکه های دولتی بسیار مشاهده شده است. این Ransomware داده های حیاتی را رمزگذاری کرده و باج های قابل توجهی را طلب کرده است. علاوه بر این، موسسات آموزشی حوادثی را گزارش کرده‌اند که Phobos شبکه‌های آنها را به خطر انداخته و منجر به نفوذ به داده‌های حساس دانشجویان و اساتید شده است.

باج افزار Phobos

قطعه کد در نقطه ورودی برای پیکربندی داده های  Phobos در حافظه

در زیر لیست جامعی از IoCهای Phobos است که بر اساس دامنه، آدرس ایمیل، آدرس IP و هش فایل طبقه بندی شده است.

Domains:

  • adstat477d[.]xyz
  • demstat577d[.]xyz
  • serverxlogs21[.]xyz
  • mslogger78[.]xyz
  • syscheck-log[.]xyz

Email Addresses:

AlbetPattisson1981@protonmail[.]com
henryk@onionmail[.]org
atomicday@tuta[.]io
info@fobos[.]one
axdus@tuta[.]io
it.issues.solving@outlook[.]com
barenuckles@tutanota[.]com
JohnWilliams1887@gmx[.]com
Bernard.bunyan@aol[.]com
jonson_eight@gmx[.]us
bill.g@gmx[.]com
joshuabernandead@gmx[.]com
bill.g@msgsafe[.]io
LettoIntago@onionmail[.]com
bill.g@onionmail[.]org
Luiza.li@tutanota[.]com
bill.gTeam@gmx[.]com
MatheusCosta0194@gmx[.]com
blair_lockyer@aol[.]com
mccreight.ellery@tutanota[.]com
CarlJohnson1948@gmx[.]com
megaport@tuta[.]io
cashonlycash@gmx[.]com
miadowson@tuta[.]io
chocolate_muffin@tutanota[.]com
MichaelWayne1973@tutanota[.]com
claredrinkall@aol[.]com
normanbaker1929@gmx[.]com
clausmeyer070@cock[.]li
nud_satanakia@keemail[.]me
colexpro@keemail[.]me
please@countermail[.]com
cox.barthel@aol[.]com
precorpman@onionmail[.]org
crashonlycash@gmx[.]com
recovery2021@inboxhub[.]net
everymoment@tuta[.]io
recovery2021@onionmail[.]org
expertbox@tuta[.]io
SamuelWhite1821@tutanota[.]com
fastway@tuta[.]io
SaraConor@gmx[.]com
fquatela@techie[.]com
secdatltd@gmx[.]com
fredmoneco@tutanota[.]com
skymix@tuta[.]io
getdata@gmx[.]com
sory@countermail[.]com
greenbookBTC@gmx[.]com
spacegroup@tuta[.]io
greenbookBTC@protonmail[.]com
stafordpalin@protonmail[.]com
helperfiles@gmx[.]com
starcomp@keemail[.]me
helpermail@onionmail[.]org
xdone@tutamail[.]com
helpfiles@onionmail[.]org
xgen@tuta[.]io
helpfiles102030@inboxhub[.]net
xspacegroup@protonmail[.]com
helpforyou@gmx[.]com
zgen@tuta[.]io
helpforyou@onionmail[.]org
zodiacx@tuta[.]io

IP Addresses:

  • 194.165.16[.]4 (October 2023)
  • 45.9.74[.]14 (December 2023)
  • 147.78.47[.]224 (December 2023)
  • 185.202.0[.]111 (September and December 2023)

File Hashes:

  • SHA-256 Hashes:
    • 58626a9bfb48cd30acd0d95debcaefd188ae794e1e0072c5bde8adae9bccafa6
    • f3be35f8b8301e39dd3dffc9325553516a085c12dc15494a5e2fce73c77069ed
    • 518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c
    • 9215550ce3b164972413a329ab697012e909d543e8ac05d9901095016dd3fc6c
    • 482754d66d01aa3579f007c2b3c3d0591865eb60ba60b9c28c66fe6f4ac53c52
    • c0539fd02ca0184925a932a9e926c681dc9c81b5de4624250f2dd885ca5c4763
    • 32a674b59c3f9a45efde48368b4de7e0e76c19e06b2f18afb6638d1a080b2eb3
    • 2704e269fb5cf9a02070a0ea07d82dc9d87f2cb95e60cb71d6c6d38b01869f66
    • fc4b14250db7f66107820ecc56026e6be3e8e0eb2d428719156cf1c53ae139c6
    • a91491f45b851a07f91ba5a200967921bf796d38677786de51a4a8fe5ddeafd2

باج افزار Phobos

ساختار تابع رمزگشایی AES

تاکتیک‌ها، تکنیک‌ها و رویه‌های Phobos Ransomware

باج افزار Phobos معمولاً از طریق پورت‌های RDP یا ایمیل‌های فیشینگ، دسترسی اولیه را به دست می‌آورد، که اغلب با حملات brute-force برای شکستن رمزهای عبور ضعیف دنبال می‌شود. این باج افزار از روش های مختلفی برای حفظ پایداری و فرار از تشخیص استفاده می کند، از جمله اصلاحات رجیستری و غیرفعال کردن ابزارهای امنیتی در سیستم هدف. به این وسیله از شناسایی توسط ابزارهای امنیتی در امان می ماند و به کار خود ادامه می دهد.

باج افزار Phobos

فهرست پیکربندی Phobos Ransomware

توصیه های نظارت و پاسخ در زمان رویارویی با باج افزار Phobos

توصیه می‌شود به جای مسدود کردن کامل آدرس‌های ایمیل مرتبط با باج‌افزار فوبوس، آن‌ها را رصد کنید. نظارت بر این آدرس‌ها بسیار مهم است زیرا به محیط‌های در معرض خطر اجازه می‌دهد تا درخواست‌های باج‌افزار را شناسایی کنند، که اغلب از طریق این آدرس‌های ایمیل ارتباط برقرار می‌شود. مسدود کردن این ایمیل‌ها ممکن است مانع از این شود که سازمان متوجه شود آنها در معرض خطر قرار گرفته‌اند و به طور بالقوه تلاش‌های پاسخ را به تأخیر می‌اندازد.

ایجاد فایل لاگ و دیباگ توسط Phobos Ransomware

استراتژی های کاهش خطر باج افزار فوبوس

 RDP امن: دسترسی به پورت های RDP را غیرفعال یا محدود کنید. از VPN ها و روش های احراز هویت قوی استفاده کنید. بصورت پیش فرض RDP از پروتکل TCP و از پورت 3389 استفاده می کند.

 Patch Systems: به طور منظم نرم افزار را برای رفع آسیب پذیری ها به روز کنید.

 امنیت سیستم: ابزارهای EDR را برای شناسایی و کاهش تهدیدات مستقر کنید. (EDR) Endpoint Detection and Response یک رویکرد لایه‌ای و یکپارچه برای حفاظت از نقطه پایانی است که نظارت مستمر در زمان واقعی و تجزیه و تحلیل داده‌های نقطه پایانی را با پاسخ خودکار مبتنی بر Policyهای جاری ترکیب می‌کند.

 تقسیم بندی شبکه: حرکت جانبی تهدیدات را از طریق تقسیم بندی شبکه به قسمت های مختلف محدود کنید و با اینکار نظارت و مانیتور بر روی آنها را افزایش دهید.

 پشتیبان گیری و بازیابی: به طور منظم از اطلاعات خود backup بگیرید.

قطعه کدی که درخواست HTTP POST را پس از تجزیه شناسه نشان می دهد

 

 

 

منابع:

Cybersecsentinel

CISA

Avast

Fortinet

Any Run

Talosintelligence

Socradar

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *