旧 Mallox 特征（如扩展名 .mallox）的静态防御规则。
3.3.2 攻击链分析

初始访问 (Initial Access)传统路径：针对公网暴露的 MSSQL (TCP 1433) 进行暴力破解。新增路径 (关键升级)：利用 React2Shell (CVE-2025-55182) 漏洞。这是一个存在于某些 Web 应用框架中的严重远程代码执行漏洞，攻击者可借此直接在服务器上执行命令。
载荷投递与执行 (Payload Delivery)
Seqrite 白皮书特别指出了其投递方式的多阶段 (Multi-stage) 特征：第一阶段：通过入侵点投放高度混淆的批处理文件（.bat）。第二阶段：批处理文件解密并执行 PowerShell 脚本。规避点：攻击者调用 sqlps.exe 来运行 PowerShell 命令。由于 sqlps.exe 是微软官方签名的合法二进制文件（LoLBin），且通常被安全软件视为可信进程，这能有效绕过部分 EDR 的监控。第三阶段：注入 Cobalt Strike Beacon Shellcode 到内存中。最终阶段：Beacon 连接 C2 服务器（如报告中提及的 193.143.1.139），下载并执行最终的 Weaxor 勒索软件主程序。
防御规避 (Defense Evasion)AMSI Bypass：脚本中包含特定的代码片段，用于修补内存中的 AmsiScanBuffer 函数，从而禁用 Windows 的反恶意软件扫描接口 (AMSI)。内存执行：主要攻击逻辑在内存中完成，减少磁盘落地文件。服务破坏：Weaxor 会修改注册表以禁用系统的“关机”、“重启”和“注销”选项，防止管理员在发现异常时通过重启中断加密过程。
4.Phobos 与 8Base 勒索软件组织的生态演变与覆灭

4.1 核心结论：8Base 与 Phobos 的真实关系

长期以来，安全业界怀疑 8Base 是 Phobos 的“换皮”版本。此次联合执法行动及司法文件最终实锤了这一点：从属关系确认：8Base 并非独立的 RaaS 开发商，而是一个使用 Phobos 勒索软件极其活跃的附属组织（Affiliate Group）。代号“Affiliate 2803”：司法文件披露，8Base 及其背后的运营者在 Phobos RaaS 生态系统中的内部代号为 "Affiliate 2803"。同源性：HHS 技术报告指出，8Base 部署的勒索软件载荷本质上是 Phobos v2.9.1 版本，未进行核心代码修改，仅在勒索信和后缀上进行了品牌定制（如 .8base）。
4.2 组织发展历程与生态架构

4.2.1 Phobos：RaaS 平台提供商
起源 (2019)：Phobos 诞生于 Dharma/CrySis 勒索软件家族，主要通过 RaaS 模式运营。市场定位：与专注于大型企业猎杀（Big Game Hunting）的组织不同，Phobos 专注于中小型企业 (SMB)、医疗和教育机构，采取“薄利多销”策略。管理员角色：核心管理员（如已引渡的 Evgenii Ptitsyn）负责开发恶意软件、维护解密密钥生成服务及暗网支付平台，并向附属组织抽取分成。
4.2.2 8Base：激进的顶级附属团队
爆发期 (2023)：8Base 虽然最早可追溯至 2022 年，但在 2023 年 5-6 月突然爆发，迅速跻身全球活跃度前列。运营策略：品牌化：8Base 建立了独立的数据泄露网站（Leak Site），拥有鲜明的品牌标识，试图在受害者心中建立“独立大组织”的形象。话术伪装：他们在勒索信中自称“诚实的渗透测试者”，声称攻击是为了帮助企业发现漏洞（典型的鳄鱼眼泪）。高频攻击：利用 Phobos 提供的基础设施，8Base 进行了极高频次的攻击，主要针对商业服务、制造和金融行业。
4.3 近期执法行动与打击成果 (2024-2025)

此次代号为 "Operation Phobos Aetor" 的国际联合行动是对该网络的毁灭性打击。


4.3.1 核心人员落网
8Base 领导层（在泰国被捕）：Roman Berezhnoy (33岁) 和 Egor Nikolaevich Glebov (39岁)：两名俄罗斯公民在泰国普吉岛被捕。指控：DOJ 指控这两人正是 8Base ("Affiliate 2803") 的实际运营者。他们利用 Phobos 软件勒索了全球超过 1000 个实体，获利超 1600 万美元。Phobos 管理员（在韩国被捕）：Evgenii Ptitsyn (42岁)：Phobos RaaS 平台的核心管理员于 2024 年 6 月在韩国被捕，并于 11 月引渡至美国。他的落网可能为追踪 8Base 提供了关键情报。
4.3.2 基础设施摧毁
服务器查封：位于全球多地的 27 台关键服务器被查封。网站接管：8Base 的暗网数据泄露网站已被德国巴伐利亚州刑事警察局（LKA）接管，并挂上了执法机关的宣告页面。密钥获取：Europol 透露已掌握部分解密密钥，并正在帮助受害者恢复数据。
4.4 技术战术分析 (TTPs)

结合 HHS 的分析报告，8Base (Affiliate 2803) 在使用 Phobos 时的战术特征如下：
4.4.1 初始访问 (Initial Access)
SmokeLoader：这是 8Base 区别于其他 Phobos 附属组织的显著特征。他们高频使用 SmokeLoader 作为初始加载器来投放勒索软件。RDP 暴力破解：延续了 Phobos/Dharma 的传统，利用弱口令扫描开放的 3389 端口。钓鱼邮件：伪装成发票或业务文件诱导点击。
4.4.2 执行与持久化
系统破坏：执行标准指令删除卷影副本 (vssadmin)、禁用恢复模式 (bcdedit)。持久化：将恶意软件复制到 %APPDATA% 或启动文件夹，并修改注册表 Run 键值。
4.4.3 沟通与勒索
通信渠道：不提供自动化的解密门户，强制要求受害者通过 qTox 或 Email (如 onionmail.org) 进行人工谈判。双重勒索：在加密前窃取数据，并威胁在泄露网站上公开（现该网站已被查封）。
4.5 综合研判与影响

此次行动是打击 RaaS 生态的一个经典案例，它不仅打掉了平台方（Phobos Admin），更精准清除了最活跃的使用方（8Base Leaders）。短期影响：随着 Berezhnoy 和 Glebov 的被捕及基础设施瘫痪，8Base 品牌的活动将立即停止。全球针对中小企业的勒索攻击量级预计在短期内会有所下降。长期启示：RDP 仍是软肋：8Base 的成功再次证明，简单的 RDP 弱口令防护依然是全球中小企业的最大短板。附属组织的品牌化：8Base 证明了附属团队可以建立比 RaaS 平台本身更响亮的品牌。未来的打击行动将更加关注这些“超级附属团队”（Power Affiliates）。国际合作的威力：跨越美、欧、亚（韩、泰）的联合执法表明，网络犯罪分子的避风港正在减少。
5.一场注定崩盘的“黑吃黑”与地下亿元赎金帝国

案件的转折点并非病毒爆发，而是一场业余的救援。客户在事发后病急乱投医，委托了某数据恢复中介公司。我们通过梳理9月16日至9月25日的邮件往来，还原了这场被搞砸的谈判全过程。
5.1 黑客的心理博弈：并非普通的勒索者

正规LockBit家族严格依赖Tor网络（暗网）面板进行私密谈判，绝不会使用普通邮箱。而本案的中介公司因不熟悉 LockBit 家族历史情况，试图通过邮件讨价还价。更值得注意的是黑客在沟通中暴露出的细节：
时间点：2025年9月16日 17:34 黑客首次向受害者发送勒索邮件。值得注意的是，邮件正文使用的是中文，且附件中包含了一个受害企业中IT主管“X先生”的个人专业技能证书。
图1 黑客发送的中文威胁邮件，并附高管技能证书
Solar团队分析：熟悉环境： 附带正常文件说明黑客已在内网潜伏多时，对客户环境了如指掌，这是为后续索要高额赎金做心理铺垫。国人嫌疑： 熟练使用中文沟通，结合后续溯源到的向日葵工具使用习惯，极有可能是境内的黑客团伙披着LockBit的外衣在作案。匿名邮箱：我们尝试使用追踪邮件客户端IP，并没有发现x-originating-ip相关字段，因为cock.li 是一个注重隐私的邮件服务商，它在邮件头中隐藏了原始发件人的真实IP地址（没有 X-Originating-IP 这样的字段）。
图2 邮件头