據觀察，一個名為 “Twelve ”的黑客組織使用大量公開工具對俄羅斯目標實施破壞性網絡攻擊。

卡巴斯基在周五的分析中表示：與要求贖金解密數據不同，該組織更傾向于加密受害者的數據，然后使用擦除器破壞他們的基礎設施，以防止恢復。

這表明，他們希望對目標組織造成最大程度的損害，而不是直接獲得經濟利益。

據悉，該黑客組織是在2023年4月俄烏戰爭爆發后成立的，曾發起過多次網絡攻擊事件、竊取敏感信息，然后通過其Telegram頻道分享這些信息。

卡巴斯基稱，Twelve 與一個名為 DARKSTAR（又名 COMET 或 Shadow）的勒索軟件組織在基礎架構和戰術上有重合之處，因此這兩個黑客組織很可能相互關聯，或者是同一活動集群的一部分。

俄羅斯網絡安全廠商說：Twelve 的行動明顯具有黑客活動的性質，而 DARKSTAR 則堅持典型的雙重勒索模式。集團內部目標的這種變化凸顯了現代網絡威脅的復雜性和多樣性。

攻擊鏈首先通過濫用有效的本地或域賬戶獲得初始訪問權限，然后使用遠程桌面協議（RDP）進行橫向移動。其中一些攻擊還通過受害者的承包商實施。

卡巴斯基指出：為此，他們獲得了承包商基礎設施的訪問權限，然后使用其證書連接到客戶的 VPN。在獲得訪問權限后，對手可以通過遠程桌面協議（RDP）連接到客戶的系統，然后侵入客戶的基礎設施。

Twelve 使用的其他工具包括 Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner 和 PsExec，用于竊取憑證、發現、網絡映射和權限升級。與系統的惡意 RDP 連接通過 ngrok 傳輸。

此外，還部署了具有執行任意命令、移動文件或發送電子郵件功能的 PHP web shell。這些程序（如 WSO web shell）在 GitHub 上隨時可用。

在此前的一起事件中，卡巴斯基稱威脅分子利用了VMware vCenter中的已知安全漏洞（如CVE-2021-21972和CVE-2021-22005），提供了一個web shell，然后利用這個web shell投放了一個名為FaceFish的后門。

攻擊者使用 PowerShell 添加域用戶和組，并修改 Active Directory 對象的 ACL（訪問控制列表）。而為了避免被發現，攻擊者將惡意軟件和任務偽裝成現有產品或服務的名稱。攻擊者通過使用包括 “Update Microsoft”、“Yandex”、“YandexUpdate ”和 “intel.exe”等名稱偽裝成英特爾、微軟和 Yandex 的程序來逃避檢測。

這些攻擊的另一個特點是使用 PowerShell 腳本（“Sophos_kill_local.ps1”）來終止受攻擊主機上與 Sophos 安全軟件相關的進程。

最后階段需要使用 Windows 任務調度程序來啟動勒索軟件和清除器有效載荷，但在此之前要通過名為 DropMeFiles 的文件共享服務以 ZIP 壓縮文件的形式收集和滲出受害者的敏感信息。

卡巴斯基研究人員說：攻擊者使用了一個流行的 LockBit 3.0 勒索軟件版本，該版本由公開源代碼編譯而成，用于加密數據。在開始工作之前，勒索軟件會終止可能干擾單個文件加密的進程。

與Shamoon惡意軟件相同的擦除器會重寫所連接驅動器上的主引導記錄（MBR），并用隨機生成的字節覆蓋所有文件內容，從而有效防止系統恢復。

卡巴斯基研究人員指出：該組織堅持使用公開的、人們熟悉的惡意軟件工具，這也表明它沒有自制的工具，那么大家就還是有機會能及時發現并阻止 Twelve 的攻擊。