文章來源：
Hacktivist Group Twelve Targets Russian Entities with Destructive Cyber Attacks,Sep/21/2024.Ravie Lakshmanan

⚾️ 新聞概述

駭客組織「Twelve」據稱利用公開工具及VMware vCenter漏洞，部署網頁後門並植入FaceFish後門程式，對俄羅斯發動破壞性網路攻擊。

Kaspersky分析指出，Twelve傾向於加密受害者資料，破壞基礎設施以阻礙復原，而非追求經濟利益。Twelve被認為是在俄烏戰爭爆發後出現的，其網路攻擊旨在癱瘓受害者網路，擾亂業務活動。

除了破壞性攻擊，Twelve還進行駭客入侵和資料外洩，並在Telegram等平台上公開敏感資訊。

Kaspersky表示，Twelve與勒索軟體組織DARKSTAR在基礎設施和戰術上有重疊，顯示兩者可能有關聯或屬於同一活動群體。

藉由以下工具進行憑證竊取、偵察、網路映射和權限提升：
Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner和PsExec，

惡意的遠端桌面連線 (RDP) 是透過 ngrok 建立通道來連接到該系統

漏洞利用與入侵技術

在一起網路攻擊事件中，Kaspersky調查發現，威脅行為者疑似利用VMware vCenter的已知漏洞（如CVE-2021-21972和CVE-2021-22005）植入網頁後門，進而投放名為FaceFish的後門程式。

報告指出：「攻擊者利用PowerShell新增網域用戶和群組，並修改Active Directory物件的存取控制清單（ACL），以鞏固其在目標網路中的控制權。為逃避偵測，攻擊者將惡意軟體和操作偽裝成常見的產品或服務名稱。」

攻擊者使用的一些偽裝名稱包括「Update Microsoft」、「Yandex」、「YandexUpdate」和「intel.exe」。
此外，攻擊的特徵之一還包括使用PowerShell Script「("Sophos_kill_local.ps1"」來終止受感染主機上的Sophos安全軟體相關程序(processes)。

◼️ What I Learned and Think

這組織的行為是好的嗎？？

1. 動機：Twelve 組織的攻擊目標似乎集中在俄羅斯，這可能與俄烏衝突有關，其動機或為政治或意識形態因素

2. 方法: 他們採用破壞性手段，包括加密和刪除數據，可能對受害者造成嚴重損失

3. 目標: 儘管 Twelve 的攻擊目標是俄羅斯，但受害者可能不僅限於政府或軍事機構，還可能包括企業和平民

4. 法律問題: 無論動機為何，Twelve 的行為在絕大多數國家都屬於非法行為

5. 道德考量: 部分人可能認為 Twelve 的行為是在對抗其所認為的不公，但其手段可能傷害無辜民眾

6. 長期影響: 此類行為可能加劇網路空間的緊張局勢，甚至引發更多報復性攻擊，形成惡性循環