Twee bekende dreigingsactiviteit clusters met de codenaam hoofd merrie en twaalf hebben waarschijnlijk hun krachten gebundeld om Russische entiteiten te richten, onthullen nieuwe bevindingen van Kaspersky.
“Hoofd Mare vertrouwde sterk op tools die eerder waren geassocieerd met twaalf. Bovendien gebruikten hoofdaanvallen van hoofdmarkten command-and-control (C2) -servers die uitsluitend zijn gekoppeld aan twaalf voorafgaand aan deze incidenten,” zei het bedrijf. “Dit suggereert potentiële samenwerking en gezamenlijke campagnes tussen de twee groepen.”
Zowel hoofdmarkten als twaalf werden eerder gedocumenteerd door Kaspersky in september 2024, waarbij de voormalige gebruik van een nu afgestudeerde kwetsbaarheid in Winrar (CVE-2023-38831) om initiële toegang te verkrijgen en malware te leveren en in sommige gevallen zelfs Ransomware-families als Ransomware-gezinnen voor LINUS en BABUK voor Linux (ESXI) in ruil voor een ransom te leveren.
Twaalf daarentegen is waargenomen dat destructieve aanvallen van de openbaar gemaakt van verschillende openbaar beschikbare hulpmiddelen worden waargenomen om de gegevens van slachtoffers te coderen en hun infrastructuur onherroepelijk te vernietigen met een wisser om herstelinspanningen te voorkomen.
De nieuwste analyse van Kaspersky toont het gebruik van Head Mare van twee nieuwe tools, waaronder Cobint, een achterdeur die wordt gebruikt door Excobalt en Crypt Ghouls in aanvallen gericht op Russische bedrijven in het verleden, evenals een op maat gemaakte implantaat genaamd Phantomjitter die is geïnstalleerd op servers voor externe commando -uitvoering.
De inzet van Cobint is ook waargenomen bij aanvallen die met twaalf zijn gemonteerd, met overlappingen die zijn ontdekt tussen de hackploeg en crypt geesten, wat duidt op een soort tactische verbinding tussen verschillende groepen die zich richten op Rusland.
Andere initiële toegangspaden die worden gebruikt door hoofdmarkten omvatten het misbruik van andere bekende beveiligingsfouten in Microsoft Exchange Server (bijv. CVE-2021-26855 aka Proxylogon), evenals via phishing-e-mails met rogue-bijlagen en het compromitteren van de netwerken van aannemers om te infiltreren slachtoffer-slachtoffer-infrastructuur, een techniek als de vertrouwde relatie-aanval.
“De aanvallers gebruikten ProxyLogon om een opdracht uit te voeren om Cobint op de server te downloaden en te starten,” zei Kaspersky, en benadrukte het gebruik van een bijgewerkt persistentiemechanisme dat geplande taken schuwt voor het maken van nieuwe bevoorrechte lokale gebruikers op een zakelijke automatiseringsplatformserver. Deze accounts worden vervolgens gebruikt om verbinding te maken met de server via RDP om hulpmiddelen interactief over te dragen en uit te voeren.
Naast het toewijzen van de kwaadaardige payloadnamen die goedaardige besturingssysteembestanden nabootsen (bijv. Calc.exe of winuac.exe), zijn de dreigingsacteurs gevonden om sporen van hun activiteit te verwijderen door gebeurtenislogboeken te wissen en proxy- en tunnelhulpmiddelen zoals Gost en cloudflared om netwerkverkeer te verbergen.
Sommige van de andere gebruikte hulpprogramma’s zijn
- quser.exe, tasklist.exe en netstat.exe voor systeemverkenning
- FSCAN en Softperfect Network Scanner voor Local Network Reconnaissance
- Adrecon voor het verzamelen van informatie van Active Directory
- Mimikatz, Secretsdump en Procdump voor het oogsten van referenties
- RDP voor laterale beweging
- MREMOTENG, SMBEXEC, WMIEXEC, PAEXEC en PSEXEC voor externe hostcommunicatie
- Rclone voor gegevensoverdracht
De aanvallen culmineren in de implementatie van Lockbit 3.0 en Babuk Ransomware op gecompromitteerde hosts, gevolgd door een briefje te laten vallen dat slachtoffers aanspoort om contact met hen op te nemen op Telegram voor het decoderen van hun bestanden.
“Head Mare breidt zijn set technieken en hulpmiddelen actief uit,” zei Kaspersky. “In recente aanvallen kregen ze initiële toegang tot de doelinfrastructuur door niet alleen phishing-e-mails met exploits te gebruiken, maar ook door aannemers te compromitteren. Head Mare werkt samen met twaalf om aanvallen op staats- en particulier gecontroleerde bedrijven in Rusland te lanceren.”
De ontwikkeling komt als Bi.zone de Noord-Korea-gekoppelde dreigingsacteur bekend stond, bekend als Scarcruft (AKA APT37, Reaper, Ricochet Chollima en Squid Werewolf) aan een phishing-campagne in december 2024 die een malware-lader leverde die verantwoordelijk was voor het implementeren van een onbekende payload van een externe server.
De activiteiten, zei het Russische bedrijf, lijkt sterk op een andere campagne die gehuld heeft gehuld#slaap die Securonix in oktober 2024 heeft gedocumenteerd als leidend tot de inzet van een achterdeur die Veilshell wordt genoemd in intrusies op Cambodja en waarschijnlijk andere Zuidoost -Aziatische landen.
Vorige maand beschreef Bi.Zone ook voortdurende cyberaanvallen georganiseerd door Bloody Wolf om NetSupport Rat te leveren als onderdeel van een campagne die meer dan 400 systemen in Kazachstan en Rusland heeft aangetast, wat een verschuiving van Strrat markeert.
