駭客組織「Twelve」據稱利用公開工具及VMware vCenter漏洞,部署網頁後門並植入FaceFish後門程式,對俄羅斯發動破壞性網路攻擊。
Kaspersky分析指出,Twelve傾向於加密受害者資料,破壞基礎設施以阻礙復原,而非追求經濟利益。Twelve被認為是在俄烏戰爭爆發後出現的,其網路攻擊旨在癱瘓受害者網路,擾亂業務活動。
除了破壞性攻擊,Twelve還進行駭客入侵和資料外洩,並在Telegram等平台上公開敏感資訊。
Kaspersky表示,Twelve與勒索軟體組織DARKSTAR在基礎設施和戰術上有重疊,顯示兩者可能有關聯或屬於同一活動群體。
藉由以下工具進行憑證竊取、偵察、網路映射和權限提升:
Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner和PsExec,
惡意的遠端桌面連線 (RDP) 是透過 ngrok 建立通道來連接到該系統
在一起網路攻擊事件中,Kaspersky調查發現,威脅行為者疑似利用VMware vCenter的已知漏洞(如CVE-2021-21972和CVE-2021-22005)植入網頁後門,進而投放名為FaceFish的後門程式。
報告指出:「攻擊者利用PowerShell新增網域用戶和群組,並修改Active Directory物件的存取控制清單(ACL),以鞏固其在目標網路中的控制權。為逃避偵測,攻擊者將惡意軟體和操作偽裝成常見的產品或服務名稱。」
攻擊者使用的一些偽裝名稱包括「Update Microsoft」、「Yandex」、「YandexUpdate」和「intel.exe」。
此外,攻擊的特徵之一還包括使用PowerShell Script「("Sophos_kill_local.ps1"」來終止受感染主機上的Sophos安全軟體相關程序(processes)。
動機:Twelve 組織的攻擊目標似乎集中在俄羅斯,這可能與俄烏衝突有關,其動機或為政治或意識形態因素
方法: 他們採用破壞性手段,包括加密和刪除數據,可能對受害者造成嚴重損失
目標: 儘管 Twelve 的攻擊目標是俄羅斯,但受害者可能不僅限於政府或軍事機構,還可能包括企業和平民
法律問題: 無論動機為何,Twelve 的行為在絕大多數國家都屬於非法行為
道德考量: 部分人可能認為 Twelve 的行為是在對抗其所認為的不公,但其手段可能傷害無辜民眾
長期影響: 此類行為可能加劇網路空間的緊張局勢,甚至引發更多報復性攻擊,形成惡性循環