Хактивистская группа под названием Twelve была замечена в использовании публично доступных инструментов для проведения деструктивных кибератак на российские организации.
По данным анализа, опубликованного компанией «Лаборатория Касперского», Twelve не требует выкупа за расшифровку данных жертв, а предпочитает зашифровать данные и затем уничтожить инфраструктуру жертвы с помощью программы-вайпера, исключая возможность восстановления данных.
«Этот подход указывает на стремление нанести максимальный ущерб организациям-целям без получения прямой финансовой выгоды,» — отмечают специалисты «Касперского».
Что такое группа «Twelve»
Группа Twelve, по всей видимости, была сформирована в апреле 2023 года на фоне войны между Россией и Украиной. За это время она успела провести множество кибератак, направленных на парализацию сетей жертв и нарушение бизнес-операций. Также хакеры занимаются операциями типа «hack-and-leak», когда украденные данные публикуются на их Telegram-канале.
Эксперты «Касперского» также указывают на схожие черты между группой Twelve и вымогательской группировкой DARKSTAR (также известной как COMET или Shadow), что может говорить о связях между этими группами или их принадлежности к одной и той же активности.
«В то время как действия Twelve явно носят хактивистский характер, DARKSTAR придерживается классической схемы двойного вымогательства,» — уточняют аналитики «Касперского». «Разнообразие целей в рамках этого синдиката подчеркивает сложность и многообразие современных киберугроз.»
Как проходят атаки
Атаки начинаются с получения первоначального доступа через компрометацию локальных или доменных учетных записей. Затем злоумышленники используют протокол удаленного рабочего стола (RDP) для перемещения по сети. В некоторых случаях атаки проводятся через инфраструктуру контрагентов пострадавших организаций.
«Злоумышленники получили доступ к инфраструктуре подрядчика и использовали его сертификат для подключения к VPN клиента. «Таким образом, они смогли проникнуть в системы клиента через RDP и захватить его инфраструктуру.»
Лаборатория Касперского
В арсенале группы Twelve находятся такие инструменты, как Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner и PsExec, которые используются для кражи учетных данных, исследования сетей и повышения привилегий. Злоумышленники туннелируют свои вредоносные RDP-подключения через сервис ngrok.
Кроме того, они используют веб-оболочки на PHP, такие как WSO, для выполнения произвольных команд, перемещения файлов или отправки писем. Эти программы доступны на GitHub.
В одном из расследованных «Касперским» инцидентов, атакующие использовали уязвимости VMware vCenter (CVE-2021-21972 и CVE-2021-22005) для внедрения веб-оболочки, которая затем использовалась для загрузки бэкдора под названием FaceFish.
«Для закрепления в доменной инфраструктуре злоумышленники использовали PowerShell для добавления пользователей и групп в домен, а также для модификации списков контроля доступа (ACL) к объектам Active Directory,» — говорится в отчете. «Чтобы избежать обнаружения, они маскировали свои вредоносные программы и задания под именами существующих продуктов или сервисов.»
Используемые имена включали «Update Microsoft», «Yandex», «YandexUpdate» и «intel.exe», что указывает на попытки скрыться под видом программ от известных производителей.
Также в атаках использовался PowerShell-скрипт «Sophos_kill_local.ps1» для завершения процессов, связанных с защитным ПО Sophos на скомпрометированных хостах, поясняет vpnРоссия.
На завершающих этапах атаки злоумышленники используют Планировщик задач Windows для запуска вымогательского ПО и вайперов, но предварительно они собирают и передают конфиденциальную информацию жертв через сервис DropMeFiles в виде ZIP-архивов.
Исследователи «Касперского» отметили, что Twelve использует версию вымогательского ПО LockBit 3.0, скомпилированную из общедоступного исходного кода, для шифрования данных. Перед началом работы вымогательское ПО завершает процессы, которые могут помешать шифрованию отдельных файлов.
Программа-вайпер, аналогичная вредоносному ПО Shamoon, перезаписывает главную загрузочную запись (MBR) на подключенных дисках и заменяет содержимое файлов случайно сгенерированными байтами, что делает невозможным восстановление системы.
«Группа использует только общедоступные и известные инструменты, что облегчает их обнаружение и предотвращение атак,» — резюмировали в «Лаборатории Касперского».
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Максим - ведущий тестировщик VPN в проекте vpnRussia, протестировал более 100 VPN-сервисов. С образованием в области информационных технологий, Максим специализируется на анализе и оценке производительности VPN, их безопасности и удобства использования. Его ключевые задачи включают проведение всесторонних тестов VPN-сервисов, выявление уязвимостей и проблем, а также подготовку детальных отчетов для пользователей.