Deux grappes d’activités de menace connues ont codé le nom de code, la tête et douze, ont probablement uni leurs forces pour cibler les entités russes, révèlent les nouvelles conclusions de Kaspersky.
“Head Mare s’est fortement appuyé sur des outils précédemment associés à douze. dit. “Cela suggère une collaboration potentielle et des campagnes conjointes entre les deux groupes.”
La tête Mare et Twelve ont été précédemment documentées par Kaspersky en septembre 2024, l’ancienne tirant parti d’une vulnérabilité désormais fournie à Winrar (CVE-2023-38831) pour obtenir un accès initial et livrer des logiciels malveillants et dans certains cas, déploier les familles de ransomwares comme Lockbit pour Windows et Babuk pour Linux (ESXI) en échange de A Ransom.
Douze, en revanche, ont été observés de mise en scène d’attaques destructrices, profitant de divers outils accessibles au public pour crypter les données des victimes et détruire irrévocablement leur infrastructure avec un essuie-glace pour empêcher les efforts de récupération.
La dernière analyse de Kaspersky montre l’utilisation par la tête de deux nouveaux outils, notamment Cobint, une porte dérobée utilisée par Exobalt et Crypt Ghouls dans les attaques destinées aux entreprises russes dans le passé, ainsi qu’un implant sur mesure nommé PhantomJitter qui est installé sur des serveurs pour l’exécution de la commande à distance.
Le déploiement de Cobint a également été observé dans les attaques montées par douze, avec des chevauchements découverts entre l’équipe de piratage et les goules de crypte, indiquant une sorte de lien tactique entre différents groupes ciblant actuellement la Russie.
Other initial access pathways exploited by Head Mare include the abuse of other known security flaws in Microsoft Exchange Server (eg, CVE-2021-26855 aka ProxyLogon), as well as via phishing emails bearing rogue attachments and compromising contractors’ networks to infiltrate victim infrastructure, a technique known as the attaque relationnelle de confiance.
“Les attaquants ont utilisé Proxylogon pour exécuter une commande pour télécharger et lancer Cobint sur le serveur”, a déclaré Kaspersky, mettant en évidence l’utilisation d’un mécanisme de persistance mis à jour qui évite les tâches planifiées en faveur de la création de nouveaux utilisateurs locaux privilégiés sur un serveur de plate-forme d’automatisation métier. Ces comptes sont ensuite utilisés pour se connecter au serveur via RDP pour transférer et exécuter des outils de manière interactive.
En plus d’attribuer les noms de charges utiles malveillants qui imitent les fichiers du système d’exploitation bénin (par exemple, calcc.exe ou winuac.exe), les acteurs de la menace se sont avérés supprimer les traces de leur activité en effaçant les journaux des événements et en utilisant des outils de proxy et de tunneling comme Gost et Cloudflared pour cacher le trafic de réseau.
Certains des autres utilitaires utilisés sont
- QUser.exe, TaskList.exe et Netstat.exe pour la reconnaissance du système
- Scanner réseau FSCAN et SOFTPERFECT pour la reconnaissance du réseau local
- ADRECON pour la collecte d’informations d’Active Directory
- Mimikatz, SecretsDump et ProcDump pour la récolte d’identification
- RDP pour le mouvement latéral
- Mremoteng, SMBEXEC, WMIEXEC, PAEXEC et Psexec pour une communication hôte à distance
- Rclone pour le transfert de données
Les attaques culminent avec le déploiement de Lockbit 3.0 et Babuk Ransomware sur les hôtes compromis, suivis d’une note qui exhorte les victimes à les contacter sur Telegram pour le décryptation de leurs dossiers.
“Head Mare élargit activement son ensemble de techniques et d’outils”, a déclaré Kaspersky. “Dans les attaques récentes, ils ont accédé initial à l’infrastructure cible en utilisant non seulement des e-mails de phishing avec des exploits, mais aussi en compromettant les entrepreneurs. Head Mare travaille avec douze pour lancer des attaques contre les entreprises à commande nationale et privée en Russie.”
Le développement est de bi.zone lié L’acteur de menace en la Corée du Nord connue sous le nom de Scarcruft (AKA APT37, Reaper, Ricochet Chollima et Squid Werewolf) à une campagne de phishing en décembre 2024 qui a livré un chargeur de logiciels malveillants responsable du déploiement d’une charge utile inconnue à partir d’un serveur distant.
L’activité, a déclaré la société russe, ressemble étroitement à une autre campagne surnommée # Sleep que Securonix documentée en octobre 2024 conduisant au déploiement d’une porte dérobée appelée Veilshell dans les intrusions ciblant le Cambodge et probablement d’autres pays d’Asie du Sud-Est.
Le mois dernier, bi.zone aussi détaillé Les cyberattaques continues organisées par Bloody Wolf pour livrer Netsupport Rat dans le cadre d’une campagne qui a compromis plus de 400 systèmes au Kazakhstan et en Russie, marquant un changement de Strrat.