Одна структура, две маски: Касперский объединяет Twelve и BlackJack в новом расследовании

Лаборатория Касперского заявила о том, что две хактивистские группы — Twelve и BlackJack — возможно, действуют в рамках одной и той же структуры. По результатам исследований, обе группировки используют схожее вредоносное ПО и применяют одинаковые методы его распространения и выполнения. Впервые эти группы активизировались в конце 2023 года, начав атаки на компании, базирующиеся в России. Несмотря на то, что хакеры позиционируют свои действия как финансово мотивированные, основная их цель заключается в краже данных и разрушении IT-инфраструктуры.

BlackJack, одна из групп, использует в своих атаках общедоступное программное обеспечение, такое как SSH-клиент PuTTY и утекший в открытый доступ wiper Shamoon, что подтверждает их ограниченные ресурсы по сравнению с более крупными кибергруппировками. Помимо этого, они активно применяют шифровальщик LockBit, который был создан на основе утекшего исходного кода, а также используют инструмент для туннелирования ngrok для поддержания постоянного доступа к заражённым системам.

Обе группы не ограничиваются использованием только вредоносных программ. Они также применяют легитимные инструменты и утилиты, такие как Radmin и AnyDesk, для удалённого управления системами. Столь широкое использование открытых и доступных инструментов делает их атаки менее заметными на начальных этапах и усложняет процесс их отслеживания.

Исследования показали, что атаки обеих групп следуют одним и тем же сценариям: вредоносное ПО размещается в одних и тех же сетевых директориях, а запуск осуществляется с помощью планировщика задач. В дополнение к этому, методы сокрытия следов, такие как очистка журналов событий с помощью PowerShell, также идентичны для обеих групп.

Несмотря на попытки позиционировать свои действия как финансово мотивированные атаки, Twelve и BlackJack скорее нацелены на максимальное разрушение IT-сред пострадавших организаций.