​⚡️Head Mare и Twelve объединились: вывод данных и шифрование российских систем

21 марта 2025 г.ITsec NEWS
​⚡️Head Mare и Twelve объединились: вывод данных и шифрование российских систем | 🔁 Новости из телеграм - Ghostbase News

⚡️Head Mare и Twelve объединились: вывод данных и шифрование российских систем

💬 Две киберпреступные группировки Head Mare и Twelve предположительно начали работать вместе и проводят атаки на российские организации. Об этом говорится в отчёте Лаборатории Касперского, где отмечаются совпадения в используемых инструментах и серверах управления, ранее связывавшихся только с Twelve.

В сентябре 2024 года Head Mare использовала уязвимость в WinRAR ( CVE-2023-38831 ) для начального доступа. Затем на устройства устанавливали вредоносное ПО, включая вымогатели LockBit для Windows и Babuk для Linux (ESXi). Twelve, в свою очередь, проводила разрушительные атаки, используя публичные инструменты для шифрования данных и уничтожения инфраструктуры с помощью вайперов.

В новых атаках Head Mare применяет CobInt — бэкдор, ранее использовавшийся группами ExCobalt и Crypt Ghouls. Также был замечен новый имплант PhantomJitter, позволяющий выполнять удаленные команды. CobInt также применялся группой Twelve, что подтверждает связь между ними и другими группами.

Для доступа к инфраструктуре Head Mare использует фишинг, уязвимость ProxyLogon (CVE-2021-26855) в Microsoft Exchange Server, а также взлом сетей подрядчиков, чтобы через них попасть к основным целям — это называется атакой через доверенные связи.

Через ProxyLogon Head Mare разворачивает CobInt и закрепляется на сервере, создавая новых привилегированных пользователей вместо планировщика задач. Через эти аккаунты злоумышленники подключаются по RDP и вручную запускают инструменты. Для маскировки зловреды получают имена вроде «calc.exe», удаляются журналы событий, а трафик скрывается с помощью Gost и Cloudflared.

В атаке используются разные инструменты:

quser.exe, tasklist.exe и netstat.exe — для сбора информации о системе;

fscan и SoftPerfect Network Scanner — для разведки в сети;

ADRecon — для анализа Active Directory;

Mimikatz, secretsdump, ProcDump — для кражи паролей;

mRemoteNG, smbexec, wmiexec, PAExec, PsExec — для удалённого управления;

Rclone — для вывода данных;

LockBit 3.0 и Babuk — для финального шифрования.

В конце атаки злоумышленники оставляют записку с контактами в Telegram для переговоров о восстановлении доступа к зашифрованным данным.

🔔 ITsec NEWS

Ссылка на постВ канал