Head Mare и Twelve объединились: вывод данных и шифрование российских систем

Head Mare Twelve Лаборатория Касперского хакеры кибератака
Head Mare и Twelve объединились: вывод данных и шифрование российских систем
Head Mare Twelve Лаборатория Касперского хакеры кибератака

История о том, как два цифровых Голиафа решили объединиться.

image

Две киберпреступные группировки Head Mare и Twelve предположительно начали работать вместе и проводят атаки на российские организации. Об этом говорится в отчёте Лаборатории Касперского, где отмечаются совпадения в используемых инструментах и серверах управления, ранее связывавшихся только с Twelve.

В сентябре 2024 года Head Mare использовала уязвимость в WinRAR ( CVE-2023-38831 ) для начального доступа. Затем на устройства устанавливали вредоносное ПО, включая вымогатели LockBit для Windows и Babuk для Linux (ESXi). Twelve, в свою очередь, проводила разрушительные атаки, используя публичные инструменты для шифрования данных и уничтожения инфраструктуры с помощью вайперов.

В новых атаках Head Mare применяет CobInt — бэкдор, ранее использовавшийся группами ExCobalt и Crypt Ghouls. Также был замечен новый имплант PhantomJitter, позволяющий выполнять удаленные команды. CobInt также применялся группой Twelve, что подтверждает связь между ними и другими группами.

Для доступа к инфраструктуре Head Mare использует фишинг, уязвимость ProxyLogon (CVE-2021-26855) в Microsoft Exchange Server, а также взлом сетей подрядчиков, чтобы через них попасть к основным целям — это называется атакой через доверенные связи.

Через ProxyLogon Head Mare разворачивает CobInt и закрепляется на сервере, создавая новых привилегированных пользователей вместо планировщика задач. Через эти аккаунты злоумышленники подключаются по RDP и вручную запускают инструменты. Для маскировки зловреды получают имена вроде «calc.exe», удаляются журналы событий, а трафик скрывается с помощью Gost и Cloudflared.

В атаке используются разные инструменты:

  • quser.exe, tasklist.exe и netstat.exe — для сбора информации о системе;
  • fscan и SoftPerfect Network Scanner — для разведки в сети;
  • ADRecon — для анализа Active Directory;
  • Mimikatz, secretsdump, ProcDump — для кражи паролей;
  • mRemoteNG, smbexec, wmiexec, PAExec, PsExec — для удалённого управления;
  • Rclone — для вывода данных;
  • LockBit 3.0 и Babuk — для финального шифрования.

В конце атаки злоумышленники оставляют записку с контактами в Telegram для переговоров о восстановлении доступа к зашифрованным данным.

Революция в песочнице: Превращаем PT Sandbox в идеальный инструмент безопасности

25 марта в 11:00 — эксклюзивный мастер-класс по созданию идеальных правил фильтрации в PT Sandbox. Готовые решения для максимальной производительности.

Зарегистрируйтесь сейчас и получите подробный гайд по настройке правил!

Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887