据观察,一个名为 “Twelve ”的黑客组织使用大量公开工具对俄罗斯目标实施破坏性网络攻击。
卡巴斯基在周五的分析中表示:与要求赎金解密数据不同,该组织更倾向于加密受害者的数据,然后使用擦除器破坏他们的基础设施,以防止恢复。
这表明,他们希望对目标组织造成最大程度的损害,而不是直接获得经济利益。
据悉,该黑客组织是在2023年4月俄乌战争爆发后成立的,曾发起过多次网络攻击事件、窃取敏感信息,然后通过其Telegram频道分享这些信息。
卡巴斯基称,Twelve 与一个名为 DARKSTAR(又名 COMET 或 Shadow)的勒索软件组织在基础架构和战术上有重合之处,因此这两个黑客组织很可能相互关联,或者是同一活动集群的一部分。
俄罗斯网络安全厂商说:Twelve 的行动明显具有黑客活动的性质,而 DARKSTAR 则坚持典型的双重勒索模式。集团内部目标的这种变化凸显了现代网络威胁的复杂性和多样性。
攻击链首先通过滥用有效的本地或域账户获得初始访问权限,然后使用远程桌面协议(RDP)进行横向移动。其中一些攻击还通过受害者的承包商实施。
卡巴斯基指出:为此,他们获得了承包商基础设施的访问权限,然后使用其证书连接到客户的 VPN。在获得访问权限后,对手可以通过远程桌面协议(RDP)连接到客户的系统,然后侵入客户的基础设施。
Twelve 使用的其他工具包括 Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner 和 PsExec,用于窃取凭证、发现、网络映射和权限升级。与系统的恶意 RDP 连接通过 ngrok 传输。
此外,还部署了具有执行任意命令、移动文件或发送电子邮件功能的 PHP web shell。这些程序(如 WSO web shell)在 GitHub 上随时可用。
在此前的一起事件中,卡巴斯基称威胁分子利用了VMware vCenter中的已知安全漏洞(如CVE-2021-21972和CVE-2021-22005),提供了一个web shell,然后利用这个web shell投放了一个名为FaceFish的后门。
攻击者使用 PowerShell 添加域用户和组,并修改 Active Directory 对象的 ACL(访问控制列表)。而为了避免被发现,攻击者将恶意软件和任务伪装成现有产品或服务的名称。攻击者通过使用包括 “Update Microsoft”、“Yandex”、“YandexUpdate ”和 “intel.exe”等名称伪装成英特尔、微软和 Yandex 的程序来逃避检测。
这些攻击的另一个特点是使用 PowerShell 脚本(“Sophos_kill_local.ps1”)来终止受攻击主机上与 Sophos 安全软件相关的进程。
最后阶段需要使用 Windows 任务调度程序来启动勒索软件和清除器有效载荷,但在此之前要通过名为 DropMeFiles 的文件共享服务以 ZIP 压缩文件的形式收集和渗出受害者的敏感信息。
卡巴斯基研究人员说:攻击者使用了一个流行的 LockBit 3.0 勒索软件版本,该版本由公开源代码编译而成,用于加密数据。在开始工作之前,勒索软件会终止可能干扰单个文件加密的进程。
与Shamoon恶意软件相同的擦除器会重写所连接驱动器上的主引导记录(MBR),并用随机生成的字节覆盖所有文件内容,从而有效防止系统恢复。
卡巴斯基研究人员指出:该组织坚持使用公开的、人们熟悉的恶意软件工具,这也表明它没有自制的工具,那么大家就还是有机会能及时发现并阻止 Twelve 的攻击。
