Er is vastgesteld dat een hacktivistengroep met de naam Twelve een arsenaal aan openbaar beschikbare hulpmiddelen gebruikt om destructieve cyberaanvallen op Russische doelen uit te voeren.
“In plaats van losgeld te eisen voor het decoderen van gegevens, versleutelt Twelve liever de gegevens van slachtoffers en vernietigt vervolgens hun infrastructuur met een wiper om herstel te voorkomen”, aldus Kaspersky in een analyse op vrijdag.
“Deze aanpak getuigt van de wens om de doelwitorganisaties zoveel mogelijk schade toe te brengen, zonder daar direct financieel voordeel uit te halen.”
De hackersgroep, die vermoedelijk in april 2023 werd opgericht na het uitbreken van de Russisch-Oekraïense oorlog, heeft een staat van dienst in het uitvoeren van cyberaanvallen die erop gericht zijn de netwerken van slachtoffers plat te leggen en bedrijfsactiviteiten te verstoren.
Er zijn ook hack- en lekoperaties waargenomen waarbij gevoelige informatie wordt buitgemaakt en vervolgens wordt gedeeld op het Telegram-kanaal.
Kaspersky zei dat Twelve infrastructurele en tactische overeenkomsten vertoont met een ransomwaregroep genaamd DARKSTAR (ook bekend als COMET of Shadow), wat de mogelijkheid vergroot dat de twee inbraaksets waarschijnlijk met elkaar verband houden of deel uitmaken van dezelfde activiteitencluster.
“Tegelijkertijd, terwijl de acties van Twelve duidelijk hacktivistisch van aard zijn, houdt DARKSTAR vast aan het klassieke patroon van dubbele afpersing,” aldus de Russische cybersecurity-leverancier. “Deze variatie van doelstellingen binnen het syndicaat onderstreept de complexiteit en diversiteit van moderne cyberbedreigingen.”
De aanvalsketens beginnen met het verkrijgen van initiële toegang door misbruik te maken van geldige lokale of domeinaccounts, waarna het Remote Desktop Protocol (RDP) wordt gebruikt om laterale beweging te vergemakkelijken. Sommige van deze aanvallen worden ook uitgevoerd via de contractanten van het slachtoffer.
“Om dit te doen, kregen ze toegang tot de infrastructuur van de aannemer en gebruikten vervolgens het certificaat om verbinding te maken met de VPN van de klant”, merkte Kaspersky op. “Nadat ze toegang hebben gekregen, kan de tegenstander verbinding maken met de systemen van de klant via het Remote Desktop Protocol (RDP) en vervolgens de infrastructuur van de klant binnendringen.”
Prominent onder de andere tools die Twelve gebruikt zijn Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner en PsExec voor diefstal van inloggegevens, ontdekking, netwerkmapping en privilege-escalatie. De kwaadaardige RDP-verbindingen met het systeem worden getunneld via ngrok.
Ook worden PHP web shells ingezet met mogelijkheden om willekeurige commando’s uit te voeren, bestanden te verplaatsen of e-mails te versturen. Deze programma’s, zoals de WSO web shell, zijn direct beschikbaar op GitHub.
In een incident dat Kaspersky onderzocht, zouden de kwaadwillenden misbruik hebben gemaakt van bekende beveiligingslekken (bijvoorbeeld CVE-2021-21972 en CVE-2021-22005) in VMware vCenter om een webshell te installeren die vervolgens werd gebruikt om een backdoor met de naam FaceFish te installeren.
“Om voet aan de grond te krijgen in de domeininfrastructuur, gebruikte de aanvaller PowerShell om domeingebruikers en -groepen toe te voegen en ACL’s (Access Control Lists) voor Active Directory-objecten te wijzigen”, aldus het rapport. “Om detectie te voorkomen, vermomden de aanvallers hun malware en taken onder de namen van bestaande producten of services.”
Enkele van de gebruikte namen zijn “Update Microsoft”, “Yandex”, “YandexUpdate” en “intel.exe”.
De aanvallen worden ook gekenmerkt door het gebruik van een PowerShell-script (“Sophos_kill_local.ps1”) om processen te beëindigen die verband houden met de beveiligingssoftware van Sophos op de gecompromitteerde host.
De laatste fase omvat het gebruik van de Windows Taakplanner om ransomware en wiper payloads te starten, maar niet voordat gevoelige informatie over de slachtoffers is verzameld en geëxfiltreerd via een bestandsuitwisselingsservice genaamd DropMeFiles in de vorm van ZIP-archieven.
“De aanvallers gebruikten een versie van de populaire LockBit 3.0 ransomware, samengesteld uit openbaar beschikbare broncode, om de data te versleutelen,” aldus onderzoekers van Kaspersky. “Voordat ze aan het werk gaan, beëindigt de ransomware processen die de versleuteling van individuele bestanden kunnen verstoren.”
De wiper, die identiek is aan de Shamoon-malware, herschrijft de master boot record (MBR) op aangesloten schijven en overschrijft alle bestandsinhoud met willekeurig gegenereerde bytes, waardoor systeemherstel feitelijk wordt voorkomen.
“De groep houdt vast aan een publiek beschikbaar en bekend arsenaal aan malwaretools, wat suggereert dat ze er zelf geen maken,” merkte Kaspersky op. “Dit maakt het mogelijk om de aanvallen van Twelve op tijd te detecteren en te voorkomen.”