不要赎金只破坏基础设施,Twelve 黑客大肆攻击俄罗斯实体
2024-9-23 10:19:15 Author: www.freebuf.com(查看原文) 阅读量:6 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1727058248_66f0d148682ac399c8750.png!small

据观察,一个名为 “Twelve ”的黑客组织使用大量公开工具对俄罗斯目标实施破坏性网络攻击。

卡巴斯基在周五的分析中表示:与要求赎金解密数据不同,该组织更倾向于加密受害者的数据,然后使用擦除器破坏他们的基础设施,以防止恢复。

这表明,他们希望对目标组织造成最大程度的损害,而不是直接获得经济利益。

据悉,该黑客组织是在2023年4月俄乌战争爆发后成立的,曾发起过多次网络攻击事件、窃取敏感信息,然后通过其Telegram频道分享这些信息。

卡巴斯基称,Twelve 与一个名为 DARKSTAR(又名 COMET 或 Shadow)的勒索软件组织在基础架构和战术上有重合之处,因此这两个黑客组织很可能相互关联,或者是同一活动集群的一部分。

俄罗斯网络安全厂商说:Twelve 的行动明显具有黑客活动的性质,而 DARKSTAR 则坚持典型的双重勒索模式。集团内部目标的这种变化凸显了现代网络威胁的复杂性和多样性。

攻击链首先通过滥用有效的本地或域账户获得初始访问权限,然后使用远程桌面协议(RDP)进行横向移动。其中一些攻击还通过受害者的承包商实施。

卡巴斯基指出:为此,他们获得了承包商基础设施的访问权限,然后使用其证书连接到客户的 VPN。在获得访问权限后,对手可以通过远程桌面协议(RDP)连接到客户的系统,然后侵入客户的基础设施。

Twelve 使用的其他工具包括 Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner 和 PsExec,用于窃取凭证、发现、网络映射和权限升级。与系统的恶意 RDP 连接通过 ngrok 传输。

此外,还部署了具有执行任意命令、移动文件或发送电子邮件功能的 PHP web shell。这些程序(如 WSO web shell)在 GitHub 上随时可用。

在此前的一起事件中,卡巴斯基称威胁分子利用了VMware vCenter中的已知安全漏洞(如CVE-2021-21972和CVE-2021-22005),提供了一个web shell,然后利用这个web shell投放了一个名为FaceFish的后门。

攻击者使用 PowerShell 添加域用户和组,并修改 Active Directory 对象的 ACL(访问控制列表)。而为了避免被发现,攻击者将恶意软件和任务伪装成现有产品或服务的名称。攻击者通过使用包括 “Update Microsoft”、“Yandex”、“YandexUpdate ”和 “intel.exe”等名称伪装成英特尔、微软和 Yandex 的程序来逃避检测。

这些攻击的另一个特点是使用 PowerShell 脚本(“Sophos_kill_local.ps1”)来终止受攻击主机上与 Sophos 安全软件相关的进程。

最后阶段需要使用 Windows 任务调度程序来启动勒索软件和清除器有效载荷,但在此之前要通过名为 DropMeFiles 的文件共享服务以 ZIP 压缩文件的形式收集和渗出受害者的敏感信息。

卡巴斯基研究人员说:攻击者使用了一个流行的 LockBit 3.0 勒索软件版本,该版本由公开源代码编译而成,用于加密数据。在开始工作之前,勒索软件会终止可能干扰单个文件加密的进程。

与Shamoon恶意软件相同的擦除器会重写所连接驱动器上的主引导记录(MBR),并用随机生成的字节覆盖所有文件内容,从而有效防止系统恢复。

卡巴斯基研究人员指出:该组织坚持使用公开的、人们熟悉的恶意软件工具,这也表明它没有自制的工具,那么大家就还是有机会能及时发现并阻止 Twelve 的攻击。

参考来源:Hacktivist Group Twelve Targets Russian Entities with Destructive Cyber Attacks (thehackernews.com)

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/411472.html
如有侵权请联系:admin#unsafe.sh