22.03.2025 | Head Mare и Twelve объединились: вывод данных и шифрование российских систем |
Две киберпреступные группировки Head Mare и Twelve предположительно начали работать вместе и проводят атаки на российские организации. Об этом говорится в отчёте Лаборатории Касперского, где отмечаются совпадения в используемых инструментах и серверах управления, ранее связывавшихся только с Twelve. В сентябре 2024 года Head Mare использовала уязвимость в WinRAR ( CVE-2023-38831 ) для начального доступа. Затем на устройства устанавливали вредоносное ПО, включая вымогатели LockBit для Windows и Babuk для Linux (ESXi). Twelve, в свою очередь, проводила разрушительные атаки, используя публичные инструменты для шифрования данных и уничтожения инфраструктуры с помощью вайперов. В новых атаках Head Mare применяет CobInt — бэкдор, ранее использовавшийся группами ExCobalt и Crypt Ghouls. Также был замечен новый имплант PhantomJitter, позволяющий выполнять удаленные команды. CobInt также применялся группой Twelve, что подтверждает связь между ними и другими группами. Для доступа к инфраструктуре Head Mare использует фишинг, уязвимость ProxyLogon (CVE-2021-26855) в Microsoft Exchange Server, а также взлом сетей подрядчиков, чтобы через них попасть к основным целям — это называется атакой через доверенные связи. Через ProxyLogon Head Mare разворачивает CobInt и закрепляется на сервере, создавая новых привилегированных пользователей вместо планировщика задач. Через эти аккаунты злоумышленники подключаются по RDP и вручную запускают инструменты. Для маскировки зловреды получают имена вроде «calc.exe», удаляются журналы событий, а трафик скрывается с помощью Gost и Cloudflared. В атаке используются разные инструменты:
В конце атаки злоумышленники оставляют записку с контактами в Telegram для переговоров о восстановлении доступа к зашифрованным данным. |
|
Проверить безопасность сайта
