Een hacktivistengroep die bekend staat als Hoofd merrie wordt in verband gebracht met cyberaanvallen die uitsluitend gericht zijn op organisaties in Rusland en Wit-Rusland.
“Head Mare gebruikt modernere methoden om eerste toegang te verkrijgen”, aldus Kaspersky in een analyse van de tactieken en hulpmiddelen van de groep op maandag.
“De aanvallers maakten bijvoorbeeld gebruik van de relatief recente CVE-2023-38831-kwetsbaarheid in WinRAR, waarmee de aanvaller willekeurige code op het systeem kan uitvoeren via een speciaal voorbereid archief. Deze aanpak stelt de groep in staat om de kwaadaardige payload effectiever te leveren en te verbergen.”
Head Mare, actief sinds 2023, is een van de hacktivistische groepen die Russische organisaties aanvallen in de context van het Russisch-Oekraïense conflict dat een jaar eerder begon.
Het is ook aanwezig op X, waar het gevoelige informatie en interne documentatie van slachtoffers heeft gelekt. Doelwitten van de aanvallen van de groep zijn onder andere overheden, transport, energie, productie en milieusectoren.
In tegenstelling tot andere hacktivisten die waarschijnlijk alleen maar proberen om bedrijven in de twee landen ‘maximale schade’ toe te brengen, versleutelt Head Mare ook de apparaten van slachtoffers met LockBit voor Windows en Babuk voor Linux (ESXi) en eist losgeld voor het ontsleutelen van de gegevens.
Ook PhantomDL en PhantomCore maken deel uit van de toolkit. De eerste is een op Go gebaseerde backdoor die extra payloads kan leveren en interessante bestanden kan uploaden naar een command-and-control (C2)-server.
PhantomCore (ook bekend als PhantomRAT), een voorloper van PhantomDL, is een trojan voor externe toegang met vergelijkbare functies. Hiermee kunnen bestanden van de C2-server worden gedownload, bestanden van een gecompromitteerde host naar de C2-server worden geüpload en opdrachten worden uitgevoerd in de opdrachtregelinterpreter cmd.exe.
“De aanvallers maken geplande taken en registerwaarden met de namen MicrosoftUpdateCore en MicrosoftUpdateCoree om hun activiteiten te vermommen als taken die verband houden met Microsoft-software”, aldus Kaspersky.
“We ontdekten ook dat sommige LockBit-samples die door de groep werden gebruikt de volgende namen hadden: OneDrive.exe (en) VLC.exe. Deze samples bevonden zich in de map C:ProgramData en vermomden zichzelf als legitieme OneDrive- en VLC-applicaties.”
Beide artefacten bleken te zijn verspreid via phishingcampagnes in de vorm van zakelijke documenten met dubbele extensies (bijvoorbeeld решение Ж201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe of тз на разработку.pdf.exe).
Een ander belangrijk onderdeel van het aanvalsarsenaal is Sliver, een open-source C2-framework en een verzameling van verschillende openbaar beschikbare tools zoals rsockstun, ngrok en Mimikatz die ontdekking, laterale verplaatsing en het verzamelen van inloggegevens vergemakkelijken.
De inbraken resulteren in de inzet van LockBit of Babuk, afhankelijk van de doelomgeving. Vervolgens wordt er een losgeldbrief verzonden waarin om betaling wordt gevraagd in ruil voor een decryptor om de bestanden te ontgrendelen.
“De tactieken, methoden, procedures en hulpmiddelen die de Head Mare-groep gebruikt, zijn over het algemeen vergelijkbaar met die van andere groepen die betrokken zijn bij clusters die zich richten op organisaties in Rusland en Wit-Rusland in de context van het Russisch-Oekraïense conflict”, aldus de Russische leverancier van cyberbeveiliging.
“De groep onderscheidt zich echter door het gebruik van op maat gemaakte malware zoals PhantomDL en PhantomCore, en door het misbruiken van een relatief nieuwe kwetsbaarheid, CVE-2023-38831, om de infrastructuur van hun slachtoffers te infiltreren in phishingcampagnes.”