iT邦幫忙

2024 iThome 鐵人賽

DAY 21
0
Security

初探資安:30 天小白挑戰 - 透過新聞了解網路安全系列 第 21

Day 21:駭客組織 Twelve 用公開工具對俄羅斯網路攻擊

  • 分享至 

  • xImage
  •  

文章來源:
Hacktivist Group Twelve Targets Russian Entities with Destructive Cyber Attacks,Sep/21/2024.Ravie Lakshmanan

⚾️ 新聞概述

駭客組織「Twelve」據稱利用公開工具及VMware vCenter漏洞,部署網頁後門並植入FaceFish後門程式,對俄羅斯發動破壞性網路攻擊。

Kaspersky分析指出,Twelve傾向於加密受害者資料,破壞基礎設施以阻礙復原,而非追求經濟利益。Twelve被認為是在俄烏戰爭爆發後出現的,其網路攻擊旨在癱瘓受害者網路,擾亂業務活動。

除了破壞性攻擊,Twelve還進行駭客入侵和資料外洩,並在Telegram等平台上公開敏感資訊。

Kaspersky表示,Twelve與勒索軟體組織DARKSTAR在基礎設施和戰術上有重疊,顯示兩者可能有關聯或屬於同一活動群體。

藉由以下工具進行憑證竊取、偵察、網路映射和權限提升:
Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner和PsExec,

惡意的遠端桌面連線 (RDP) 是透過 ngrok 建立通道來連接到該系統

漏洞利用與入侵技術

在一起網路攻擊事件中,Kaspersky調查發現,威脅行為者疑似利用VMware vCenter的已知漏洞(如CVE-2021-21972和CVE-2021-22005)植入網頁後門,進而投放名為FaceFish的後門程式。

報告指出:「攻擊者利用PowerShell新增網域用戶和群組,並修改Active Directory物件的存取控制清單(ACL),以鞏固其在目標網路中的控制權。為逃避偵測,攻擊者將惡意軟體和操作偽裝成常見的產品或服務名稱。」

攻擊者使用的一些偽裝名稱包括「Update Microsoft」、「Yandex」、「YandexUpdate」和「intel.exe」。
此外,攻擊的特徵之一還包括使用PowerShell Script「("Sophos_kill_local.ps1"」來終止受感染主機上的Sophos安全軟體相關程序(processes)。


◼️ What I Learned and Think

這組織的行為是好的嗎??

  1. 動機:Twelve 組織的攻擊目標似乎集中在俄羅斯,這可能與俄烏衝突有關,其動機或為政治或意識形態因素

  2. 方法: 他們採用破壞性手段,包括加密和刪除數據,可能對受害者造成嚴重損失

  3. 目標: 儘管 Twelve 的攻擊目標是俄羅斯,但受害者可能不僅限於政府或軍事機構,還可能包括企業和平民

  4. 法律問題: 無論動機為何,Twelve 的行為在絕大多數國家都屬於非法行為

  5. 道德考量: 部分人可能認為 Twelve 的行為是在對抗其所認為的不公,但其手段可能傷害無辜民眾

  6. 長期影響: 此類行為可能加劇網路空間的緊張局勢,甚至引發更多報復性攻擊,形成惡性循環


上一篇
Day 20:網路釣魚攻擊目標對準美台國防會議
下一篇
Day 22:美國偵破中國駭客集團 - 亞麻颱風
系列文
初探資安:30 天小白挑戰 - 透過新聞了解網路安全30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言