Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Сотрудничество хактивистов: Head Mare и Twelve атакуют Россию

2
2 мин
В сентябре 2024 года российские компании стали объектом серии целенаправленных атак, организованных двумя группами хактивистов – Head Mare и Twelve. Это событие поднимает вопрос о возможном сотрудничестве между этими двумя группами, что влечет за собой серьезные последствия для кибербезопасности в России. В ходе расследования было установлено, что руководитель Head Mare использовал инструменты и серверы управления (C2), непосредственно связанные с Twelve. Это указывает на потенциальное сотрудничество, что делает актуальным исследование их совместных тактик. Head Mare продемонстрировала значительный сдвиг в использовании тактик, методов и процедур (TTP). Первоначально группа полагалась на: Тем не менее, они начали использовать более сложные инструменты, такие как бэкдоры CobInt и PhantomJitter, что свидетельствует о росте угрозы. Последний из этих бэкдоров был представлен в августе 2024 года. Злоумышленники активно используют уязвимости, в частности: Эти уязвимости усугубляются продолже
Оглавление
Источник: securelist.com
Источник: securelist.com

В сентябре 2024 года российские компании стали объектом серии целенаправленных атак, организованных двумя группами хактивистов – Head Mare и Twelve. Это событие поднимает вопрос о возможном сотрудничестве между этими двумя группами, что влечет за собой серьезные последствия для кибербезопасности в России.

Сигналы о сотрудничестве

В ходе расследования было установлено, что руководитель Head Mare использовал инструменты и серверы управления (C2), непосредственно связанные с Twelve. Это указывает на потенциальное сотрудничество, что делает актуальным исследование их совместных тактик.

Эволюция тактики

Head Mare продемонстрировала значительный сдвиг в использовании тактик, методов и процедур (TTP). Первоначально группа полагалась на:

  • Фишинговые атаки через электронную почту;
  • Внедрение в инфраструктуру жертв через скомпрометированных подрядчиков.

Тем не менее, они начали использовать более сложные инструменты, такие как бэкдоры CobInt и PhantomJitter, что свидетельствует о росте угрозы. Последний из этих бэкдоров был представлен в августе 2024 года.

Использование уязвимостей

Злоумышленники активно используют уязвимости, в частности:

  • CVE-2023-38831 в WinRAR;
  • CVE-2021-26855 (ProxyLogon) в Microsoft Exchange Server.

Эти уязвимости усугубляются продолжением использования устаревших систем в целевых организациях, что создает дополнительные риски.

Тактические приемы и инструменты

Head Mare использует различные методы для уклонения от обнаружения. Среди таких приемов:

  • Маскировка и переименование вредоносных исполняемых файлов;
  • Очистка журналов событий;
  • Разведывательные действия с использованием системных инструментов, таких как quser.exe и tasklist.exe.

Дополнительно применяются специальные инструменты, такие как ADRecon, для сбора информации из сред Active Directory.

Заключение

Анализ показал, что Head Mare и Twelve значительно улучшили свои тактики, включая использование новых инструментов и методов, таких как ранее невиданные скрипты PowerShell. Совместные действия обеих групп подчеркивают растущую угрозу в сфере кибербезопасности, требующую постоянного мониторинга и анализа. Это необходимо для понимания их эволюционирующих методов и снижения связанных с ними рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Сотрудничество хактивистов: Head Mare и Twelve атакуют Россию".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.