Kaspersky’nin yeni bulguları, Head Mare ve Oniki Kolezi Koleji Mare ve Oniki’nin Rus varlıklarını hedeflemek için güçlerini birleştirdi.
“Head Mare, daha önce on iki ile ilişkili araçlara büyük ölçüde güveniyordu. Ayrıca, bu olaylardan önce on iki ile bağlantılı komuta ve kontrol (C2) sunucuları kullanılan Head Mare saldırıları” söz konusu. “Bu, iki grup arasındaki potansiyel işbirliği ve ortak kampanyaları öneriyor.”
Hem Head Mare hem de Oniki, Eylül 2024’te Kaspersky tarafından daha önce belgelenmişti, eski, Winrar’da (CVE-2023-38831) şu anda paketlenmiş bir güvenlik açığından yararlanıyor ve hatta bazı durumlarda kötü amaçlı yazılımlar ve hatta Windows için kilitbit gibi fidye yazılım aileleri ve linux için babuk (esxi) için ransmware (esxi) için ransmware (esxi) ransm için.
Öte yandan, on iki, mağdurların verilerini şifrelemek ve toparlanma çabalarını önlemek için bir silecekle altyapılarını geri döndürülemez bir şekilde yok etmek için halka açık çeşitli araçlardan yararlanarak yıkıcı saldırıların sahnelenmesi gözlemlenmiştir.
Kaspersky’nin son analizi, Head Mare’nin geçmişte Rus firmalarına yönelik saldırılarda Excobalt ve Crypt Ghouls tarafından kullanılan bir arka kapı ve aynı zamanda uzaktan komut yürütme için sunuculara yüklenen ısmarlama bir implant da dahil olmak üzere iki yeni aracı kullandığını gösteriyor.
Cobint’in konuşlandırılması, on iki tarafından monte edilen saldırılarda da gözlemlenmiştir, hackleme ekibi ve kriptli ghouls arasında örtüşen örtüşmeler, şu anda Rusya’yı hedefleyen farklı gruplar arasında bir tür taktiksel bağlantıyı göstermiştir.
Head Mare tarafından sömürülen diğer başlangıç erişim yolları arasında Microsoft Exchange Server’daki (örneğin CVE-2021-26855 AKA Proxylogon) diğer bilinen güvenlik kusurlarının kötüye kullanılması ve ayrıca Rogue ekleri taşıyan ve müteahhitlerin ağlarını, mağdur altyapı olarak bilinen bir tekniği, uzlaştırma e-postaları aracılığıyla, Güvenilir ilişki saldırısı.
“Saldırganlar, sunucuda Cobint’i indirmek ve başlatmak için bir komut yürütmek için proxylogon kullandı,” dedi Kaspersky, bir iş otomasyon platformu sunucusunda yeni ayrıcalıklı yerel kullanıcılar oluşturmak için planlanan görevlerden kaçınan güncellenmiş bir kalıcılık mekanizmasının kullanımını vurguladı. Bu hesaplar daha sonra araçları etkileşimli olarak aktarmak ve yürütmek için RDP aracılığıyla sunucuya bağlanmak için kullanılır.
Benign işletim sistemi dosyalarını taklit eden kötü amaçlı yük yükleri adlarını (örneğin, calc.exe veya winuac.exe) taklit etmenin yanı sıra, tehdit aktörlerinin olay günlüklerini temizleyerek ve ağ trafiğini gizlemek için proxy ve cloudflated gibi proxy ve tünel araçlarını kullandıkları bulunmuştur.
Kullanılan diğer yardımcı programlardan bazıları –
- QUSER.EXE, TaskList.exe ve NetStat.exe Sistem Keşif için
- Yerel ağ keşfi için fscan ve softperfect ağ tarayıcısı
- Active Directory’den bilgi toplamak için AdRecon
- Mimikatz, SecretsDump ve kimlik bilgisi hasat için Procdump
- Yanal hareket için RDP
- Uzak ana bilgisayar iletişimi için Mremoteng, SMBEXEC, WMIEXEC, PAEXEC ve PSEXEC
- Veri aktarımı için RCLone
Saldırılar, Lockbit 3.0 ve Babuk fidye yazılımlarının uzatılmış ana bilgisayarlara dağıtılmasıyla sonuçlanır ve ardından kurbanları dosyalarını çözmek için telgrafta kendileriyle iletişime geçmeye çağıran bir not bırakır.
Kaspersky, “Head Mare, teknik ve araç kümesini aktif olarak genişletiyor.” Dedi. “Son saldırılarda, sadece istismarlarla kimlik avı e-postaları kullanarak değil, aynı zamanda müteahhitlerden ödün vererek hedef altyapıya ilk erişim elde ettiler. Head Mare, Rusya’daki devlet ve özel kontrol altındaki şirketlere saldırı başlatmak için on iki ile çalışıyor.”
Gelişme bi.zone olarak geliyor bağlantılı Aralık 2024’te isimsiz bir Rus sanayi kuruluşuna yönelik bir kimlik bilimi yükleyicisine, uzak sunucudan bilinmeyen bir yükü dağıtmaktan sorumlu bir kötü amaçlı yazılım yükleyicisine yönlendiren bir kimlik avı kampanyasına Scarcruft (AKA Apt37, Reaper, Ricochet Chollima ve Squid Westol) olarak bilinen Kuzey Kore bağlantılı tehdit oyuncusu.
Rus şirketi, etkinliğin, Securonix’in Ekim 2024’te Kamboçya’yı ve muhtemelen diğer Güneydoğu Asya ülkelerini hedefleyen müdahalelerde atıfta bulunulan bir arka kapının konuşlandırılmasına yol açan Securonix’in belgelendiği Shrouded#Sleep adlı başka bir kampanyaya benzediğini söyledi.
Geçen ay, bi.zone da ayrıntılı Kazakistan ve Rusya’da 400’den fazla sistemi tehlikeye atan bir kampanyanın bir parçası olarak Netsupport sıçanını sunmak için Bloody Wolf tarafından sahnelenen siber saldırılar devam etti ve Strrat’tan bir kayma işaret etti.
