导 读
一个名为 Twelve 的黑客组织使用一系列公开的工具对俄罗斯目标发动破坏性的网络攻击。
卡巴斯基在周五的分析中表示:“Twelve 不会索要解密数据的赎金,而是选择加密受害者的数据,然后用擦除器摧毁他们的基础设施,以防止恢复。”
“这种做法表明了攻击者想要对目标组织造成最大程度的损害,而不获取直接的经济利益。”
该黑客组织据信成立于 2023 年 4 月俄乌战争爆发后,曾多次发动网络攻击,旨在破坏受害者网络和扰乱商业运营。
据观察,它还进行黑客泄密操作,窃取敏感信息,然后在其 Telegram 频道上共享。
卡巴斯基表示,Twelve 与一个名为DARKSTAR (又名 COMET 或 Shadow)的勒索软件组织在基础设施和战术上有重叠,这使得这两个入侵组织可能相互关联或属于同一活动集群的可能性。
“Twelve 的行为明显具有黑客行为的性质, DARKSTAR 坚持使用经典的双重勒索模式。该集团内部目标的多样性凸显了现代网络威胁的复杂性和多样性。”
攻击链首先通过滥用有效的本地或域帐户获得初始访问权限,然后使用远程桌面协议 (RDP) 进行横向移动。其中一些攻击也通过受害目标的承包商或供应商进行。
卡巴斯基指出:“为了做到这一点,他们获得了第三方供应商基础设施的访问权限,然后使用其证书连接到其客户的 VPN。”“获得访问权限后,攻击者可以通过远程桌面协议 (RDP) 连接到客户的系统,然后渗透到客户的基础设施中。”
Twelve 使用的其他工具中,最突出的是 Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner 和 PsExec,用于凭证窃取、发现、网络映射和权限提升。与系统的恶意 RDP 连接通过 ngrok 进行隧道传输。
还部署了 PHP Web Shell,具有执行任意命令、移动文件或发送电子邮件的功能。这些程序(例如WSO Web Shell)在 GitHub 上很容易获得。
在卡巴斯基调查的一起事件中,攻击者利用 VMware vCenter 中已知的安全漏洞(例如CVE-2021-21972和CVE-2021-22005)来传递Web shell,然后该 Web shell 被用于放置名为 FaceFish 的后门。
为了在域基础架构中站稳脚跟,攻击者使用 PowerShell 添加域用户和组,并修改 Active Directory 对象的 ACL(访问控制列表)。为避免被发现,攻击者将他们的恶意软件和任务伪装成现有产品或服务的名称。
所用名称包括“Update Microsoft”、“Yandex”、“YandexUpdate”和“intel.exe”,表明试图通过伪装成英特尔、微软和 Yandex 的程序来逃避检测。
此次攻击还具有以下特点:使用 PowerShell 脚本(“Sophos_kill_local.ps1”)来终止受感染主机上与 Sophos 安全软件相关的进程。
最后阶段需要使用 Windows 任务计划程序启动勒索软件和擦除器负载,但在此之前,需要通过名为 DropMeFiles 的文件共享服务以 ZIP 存档的形式收集和泄露有关受害者的敏感信息。
卡巴斯基研究人员表示:“攻击者使用流行的LockBit 3.0 勒索软件版本(该版本由公开源代码编译而成)来加密数据。在开始工作之前,勒索软件会终止可能干扰单个文件加密的进程。”
该擦除器与Shamoon恶意软件相同,它会重写所连接驱动器上的主引导记录 (MBR),并用随机生成的字节覆盖所有文件内容,从而有效地阻止系统恢复。
卡巴斯基指出:“该组织坚持使用公开且为人熟知的恶意软件工具库,这表明它没有自己开发任何工具。这使得及时发现并阻止 Twelve 的攻击成为可能。”
技术报告:https://securelist.com/twelve-group-unified-kill-chain/113877/
新闻链接:
hhttps://thehackernews.com/2024/09/hacktivist-group-twelve-targets-russian.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
黑客组织 Twelve 针对俄罗斯实体发动破坏性网络攻击
https://thehackernews.com/2024/09/hacktivist-group-twelve-targets-russian.html
Lazarus Group 针对能源和航空航天领域部署新后门
https://www.technadu.com/lazarus-group-deploys-new-backdoor-against-energy-and-aerospace-sectors/549763/
伊朗 APT 组织 UNC1860 为中东网络入侵提供便利
https://thehackernews.com/2024/09/iranian-apt-unc1860-linked-to-mois.html
谷歌称伊朗在中东电信公司和政府机构中植入后门
https://therecord.media/iran-backdoors-planted-across-middle-east-telecoms-government-orgs
伊朗黑客试图窃取特朗普信息,以引起拜登竞选团队的兴趣,但未能成功
https://www.securityweek.com/iranian-hackers-tried-but-failed-to-interest-bidens-campaign-in-stolen-trump-info-fbi-says/
美国FBI捣毁一个大规模僵尸网络,该网络入侵全球超过260,000 台设备
https://www.cybersecuritydive.com/news/us-takedown-china-botnet/727501/
朝鲜黑客利用 RustDoor 恶意软件攻击 LinkedIn 上的加密货币用户
https://thehackernews.com/2024/09/north-korean-hackers-target.html
网络攻击后德国广播电台被迫播放“音乐备份”
https://therecord.media/germany-cyberattack-radio-geretsried
研究人员称,与 Kimsuky 有关的黑客使用类似策略攻击俄罗斯和韩国
https://therecord.media/kimsuky-north-korea-hackers-targeting-russia-south-korea
一般威胁事件
General Threat Incidents
噪音风暴:自 2020 年以来观察到神秘的大规模欺骗流量浪潮
https://securityaffairs.com/168710/breaking-news/noise-storms-mysterious-spoofed-traffic.html
一个名为“Marko Polo(马可波罗)”的网络犯罪集团利用信息窃取恶意软件瞄准全球币圈参与者
https://www.bleepingcomputer.com/news/security/global-infostealer-malware-operation-targets-crypto-users-gamers/
江森自控在“黑暗天使”网络攻击后面临 2700 万美元损失
https://securitybrief.com.au/story/johnson-controls-faces-27m-loss-after-dark-angels-cyberattack
黑客使用 Supershell 恶意软件攻击 Linux SSH 服务器
https://cybersecuritynews.com/supershell-malware-linux-ssh-servers/
黑客泄露员工信息后戴尔调查数据泄露事件
https://www.bleepingcomputer.com/news/security/dell-investigates-data-breach-claims-after-hacker-leaks-employee-info/
新加坡加密货币平台 BingX 被盗价值 4400 多万美元的加密货币
https://therecord.media/44-million-stolen-from-crypto-platform-singapore
DDoS 超过勒索软件成为欧洲最活跃的网络威胁
https://cybernews.com/security/ddos-overtakes-ransomware-as-most-active-threat/
三分之一的美国人背景调查信息被公开
https://cybernews.com/security/us-mc2-background-check-data-leak/
微软:INC 勒索软件关联公司瞄准美国医疗保健行业
https://www.securityweek.com/microsoft-us-healthcare-sector-targeted-by-inc-ransomware-affiliate/
黑客利用 FOUNDATION 软件中的默认凭证入侵建筑公司
https://thehackernews.com/2024/09/hackers-exploit-default-credentials-in.html
与巴西有关的新型 SambaSpy 恶意软件通过钓鱼电子邮件攻击意大利用户
https://thehackernews.com/2024/09/new-brazilian-linked-sambaspy-malware.html
TeamTNT 新型加密劫持活动利用 Rootkit 攻击 CentOS 服务器
https://thehackernews.com/2024/09/new-teamtnt-cryptojacking-campaign.html
德国查获勒索软件团伙使用的 47 家加密货币交易所
https://www.bleepingcomputer.com/news/security/germany-seizes-47-crypto-exchanges-used-by-ransomware-gangs/
欧洲刑警组织取缔用于跨国网络犯罪的“Ghost”加密信息平台
https://www.bleepingcomputer.com/news/security/europol-takes-down-ghost-encrypted-messaging-platform-used-for-crime/
欧洲执法部门捣毁用于解锁被盗手机的网络钓鱼平台
https://www.securityweek.com/law-enforcement-dismantles-phishing-platform-used-for-unlocking-stolen-phones/
漏洞事件
Vulnerability Incidents
CISA 警告 Apache HugeGraph-Server 漏洞遭积极利用
https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-apache-hugegraph-server-bug/
CISA:Oracle 的“奇迹漏洞”漏洞成为攻击目标
https://www.securityweek.com/cisa-oracle-vulnerabilities-from-miracle-exploit-targeted-in-attacks/
Atlassian 修补 Bamboo、Bitbucket、Confluence 和 Crowd 中的漏洞
https://www.securityweek.com/atlassian-patches-vulnerabilities-in-bamboo-bitbucket-confluence-crowd/
GitLab 修补关键身份验证绕过漏洞
https://www.securityweek.com/gitlab-patches-critical-authentication-bypass-vulnerability/
Ivanti 警告称,云服务设备CSA 存在另一个关键漏洞,可能被用于攻击
https://www.bleepingcomputer.com/news/security/ivanti-warns-of-another-critical-csa-flaw-exploited-in-attacks/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):卡巴斯基:黑客组织 Twelve 针对俄罗斯实体发动破坏性网络攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论