據(jù)觀察，一個(gè)名為 “Twelve ”的黑客組織使用大量公開(kāi)工具對(duì)俄羅斯目標(biāo)實(shí)施破壞性網(wǎng)絡(luò)攻擊。

卡巴斯基在周五的分析中表示：與要求贖金解密數(shù)據(jù)不同，該組織更傾向于加密受害者的數(shù)據(jù)，然后使用擦除器破壞他們的基礎(chǔ)設(shè)施，以防止恢復(fù)。

這表明，他們希望對(duì)目標(biāo)組織造成最大程度的損害，而不是直接獲得經(jīng)濟(jì)利益。

據(jù)悉，該黑客組織是在2023年4月俄烏戰(zhàn)爭(zhēng)爆發(fā)后成立的，曾發(fā)起過(guò)多次網(wǎng)絡(luò)攻擊事件、竊取敏感信息，然后通過(guò)其Telegram頻道分享這些信息。

卡巴斯基稱，Twelve 與一個(gè)名為 DARKSTAR（又名 COMET 或 Shadow）的勒索軟件組織在基礎(chǔ)架構(gòu)和戰(zhàn)術(shù)上有重合之處，因此這兩個(gè)黑客組織很可能相互關(guān)聯(lián)，或者是同一活動(dòng)集群的一部分。

俄羅斯網(wǎng)絡(luò)安全廠商說(shuō)：Twelve 的行動(dòng)明顯具有黑客活動(dòng)的性質(zhì)，而 DARKSTAR 則堅(jiān)持典型的雙重勒索模式。集團(tuán)內(nèi)部目標(biāo)的這種變化凸顯了現(xiàn)代網(wǎng)絡(luò)威脅的復(fù)雜性和多樣性。

攻擊鏈?zhǔn)紫韧ㄟ^(guò)濫用有效的本地或域賬戶獲得初始訪問(wèn)權(quán)限，然后使用遠(yuǎn)程桌面協(xié)議（RDP）進(jìn)行橫向移動(dòng)。其中一些攻擊還通過(guò)受害者的承包商實(shí)施。

卡巴斯基指出：為此，他們獲得了承包商基礎(chǔ)設(shè)施的訪問(wèn)權(quán)限，然后使用其證書連接到客戶的 VPN。在獲得訪問(wèn)權(quán)限后，對(duì)手可以通過(guò)遠(yuǎn)程桌面協(xié)議（RDP）連接到客戶的系統(tǒng)，然后侵入客戶的基礎(chǔ)設(shè)施。

Twelve 使用的其他工具包括 Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner 和 PsExec，用于竊取憑證、發(fā)現(xiàn)、網(wǎng)絡(luò)映射和權(quán)限升級(jí)。與系統(tǒng)的惡意 RDP 連接通過(guò) ngrok 傳輸。

此外，還部署了具有執(zhí)行任意命令、移動(dòng)文件或發(fā)送電子郵件功能的 PHP web shell。這些程序（如 WSO web shell）在 GitHub 上隨時(shí)可用。

在此前的一起事件中，卡巴斯基稱威脅分子利用了VMware vCenter中的已知安全漏洞（如CVE-2021-21972和CVE-2021-22005），提供了一個(gè)web shell，然后利用這個(gè)web shell投放了一個(gè)名為FaceFish的后門。

攻擊者使用 PowerShell 添加域用戶和組，并修改 Active Directory 對(duì)象的 ACL（訪問(wèn)控制列表）。而為了避免被發(fā)現(xiàn)，攻擊者將惡意軟件和任務(wù)偽裝成現(xiàn)有產(chǎn)品或服務(wù)的名稱。攻擊者通過(guò)使用包括 “Update Microsoft”、“Yandex”、“YandexUpdate ”和 “intel.exe”等名稱偽裝成英特爾、微軟和 Yandex 的程序來(lái)逃避檢測(cè)。

這些攻擊的另一個(gè)特點(diǎn)是使用 PowerShell 腳本（“Sophos_kill_local.ps1”）來(lái)終止受攻擊主機(jī)上與 Sophos 安全軟件相關(guān)的進(jìn)程。

最后階段需要使用 Windows 任務(wù)調(diào)度程序來(lái)啟動(dòng)勒索軟件和清除器有效載荷，但在此之前要通過(guò)名為 DropMeFiles 的文件共享服務(wù)以 ZIP 壓縮文件的形式收集和滲出受害者的敏感信息。

卡巴斯基研究人員說(shuō)：攻擊者使用了一個(gè)流行的 LockBit 3.0 勒索軟件版本，該版本由公開(kāi)源代碼編譯而成，用于加密數(shù)據(jù)。在開(kāi)始工作之前，勒索軟件會(huì)終止可能干擾單個(gè)文件加密的進(jìn)程。

與Shamoon惡意軟件相同的擦除器會(huì)重寫所連接驅(qū)動(dòng)器上的主引導(dǎo)記錄（MBR），并用隨機(jī)生成的字節(jié)覆蓋所有文件內(nèi)容，從而有效防止系統(tǒng)恢復(fù)。

卡巴斯基研究人員指出：該組織堅(jiān)持使用公開(kāi)的、人們熟悉的惡意軟件工具，這也表明它沒(méi)有自制的工具，那么大家就還是有機(jī)會(huì)能及時(shí)發(fā)現(xiàn)并阻止 Twelve 的攻擊。