Twelve продолжает атаковать Российские организации

20 августа 202420 авг 2024

197

4 мин

Оглавление

После непродолжительного перерыва команда Twelve снова привлекла внимание специалистов по кибербезопасности.
Стратегия
Специалисты Mask Safe рекомендуют строить свою киберзащиту следующим образом:

После непродолжительного перерыва команда Twelve снова привлекла внимание специалистов по кибербезопасности.

С апреля 2023 года российские организации подвергаются атакам со стороны Twelve. Ранее они публиковали в своём Telegram-канале персональные данные людей. Однако весной 2024 года этот канал был заблокирован за нарушение правил. В конце июня были выявлено атаки, при изучении которых эксперты выявили схожие методы и инфраструктуру, ранее применяемые этой группой. Такое заключение позволило доказать, что Twelve продолжает свою деятельность, в связи с чем есть вероятность, что в ближайшее время они попытаются атаковать крупные объекты.

При атаке Twelve использует Cobalt Strike, Mimikatz и ngrok - инструменты, которые были известны ранее, а также используют ряд веб-шеллов, чтобы проникать в сети жертв и распространять свой вредоносный код. После получения доступа к инфраструктуре подрядчика, хакеры затем используют его учетные данные для проникновения в сеть основной компании. Основная часть инструментов, которые применяет группа, доступна в открытых источниках, что делает их доступными даже для менее опытных злоумышленников.

Важной особенностью группировки является применение методов социальной инженерии, которая позволяет получить доступ к внутренней сети атакуемых через подрядчиков. Кибератаки с применением социальной инженерии могут быть разнообразными.

Для того, чтобы успешно их распознавать, важно понимать, что такое социальная инженерия и как она функционирует. Поняв этот механизм, вы сможете легче выявлять подобные атаки.

Социальная инженерия – это способы манипулирования людьми с целью получения от них конфиденциальной информации.Виды социальной инженерии:
Фишинг - это мошенническое использование электронных коммуникаций для обмана и получения выгоды от пользователей;
Целевой фишинг - похож на обычный фишинг, но нацелен на конкретного человека или организацию;
Голосовой фишинг - атакующие используют телефон для сбор личной и финансовой информации;
Смишинг - это вид интернет-мошенничества, при котором злоумышленники, используя СМС, под разными предлогами вынуждают людей совершать действия якобы в их собственных интересах или похищают персональные или финансовые данные человека;
«Китобойный» фишинг - это фишинговая атака, нацеленная конкретно на топ-менеджера крупной компании;
Клон-фишинг - принцип этой фишинговой атаки заключается в том, что хакер отправляет поддельное электронное письмо, замаскированное под обычное, причём адрес, с которого было отправлено письмо, очень похож на один из тех, которые используют известные и надёжные источники;
Спуфинг - в контексте сетевой безопасности так называют любую атаку, когда злоумышленник каким-то образом маскирует себя или свои действия под что-то, чему пользователь доверяет.

Стратегия

Хакеры делают упор на:

разрушении критической инфраструктуры;
краже конфиденциальных данных;
дискриминации жертв путём публикации информации о взломе в публичных Telegram-каналах.

Это показывает то, что для Twelve важно не столько получить материальную выгоду, сколько достичь идеологического эффекта.

Злоумышленники пытаются скрывать свои действия, маскируя своё присутствие в системах и подменяя названия процессов на имена легитимных сервисов. Кроме того, они активно применяют инструменты для удаления логов и других данных, которые могут помочь в их обнаружении.

Одним из примеров продвинутых методов, применяемых Twelve, является обнаруженный специалистами бэкдор FaceFish. Этот вредоносный код был внедрён в сервер VMware vCenter через уязвимости и позволял злоумышленникам тайком контролировать системы, собирая при этом критически важную информацию.

Twelve также использует мощные шифровальщики, например LockBit 3.0, чтобы заблокировать данные жертв. В некоторых случаях они применяют вайперы - программы, которые полностью уничтожают данные на жёстких дисках, делая их восстановление невозможным.

Исследователи считают, что атаки, которые совершает группировка Twelve, можно предотвратить, пока злоумышленники только готовятся нанести ущерб инфраструктуре организации. У группировки нет собственных разработок, поэтому атаки можно обнаружить заранее

Киберпреступная группировка Twelve продолжает представлять серьёзную угрозу в сфере кибербезопасности. Она остаётся одной из самых активных и опасных на данный момент. Атаки Twelve представляют серьезную угрозу для организаций, в особенности тех, кто занимается важными инфраструктурами. Специалисты по безопасности настоятельно советуют предприятиям усилить меры защиты и подготовиться к возможным атакам, так как они могут привести к серьёзным последствиям и поставить под угрозу работу компаний. С точки зрения защиты, эксперты подчеркивают важность своевременного обнаружения и предотвращения атак Twelve. Использование общедоступных инструментов и методов делает их действия предсказуемыми, что дает шансы на успешное отражение атак при правильной настройке средств защиты.

Специалисты Mask Safe рекомендуют строить свою киберзащиту следующим образом:

Установить антивирус последней версии
Внедрить защиту нового поколения – межсетевые экраны нового поколения NGFW
Использовать систему мониторинга событий информационной безопасности
Выявлять нелояльных сотрудников, предотвращать утечку информации и контролировать информационные потоки
Также использовать систему анализа трафика для выявления атак

Если у вас возникли дополнительные вопросы или вы хотели бы узнать больше о наших услугах и продуктах, не стесняйтесь обращаться к нам. Мы всегда готовы помочь вам с выбором оптимальных решений для вашего бизнеса.

Будьте в курсе последних тенденций в области кибербезопасности и IT-технологий, следите за обновлениями на нашем сайте и подписывайтесь на наши новостные рассылки.