СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.03.2025
#ИБ#Инфра

Сотрудничество хактивистов: Head Mare и Twelve атакуют Россию

Сотрудничество хактивистов: Head Mare и Twelve атакуют Россию

Источник: securelist.com

В сентябре 2024 года российские компании стали объектом серии целенаправленных атак, организованных двумя группами хактивистов – Head Mare и Twelve. Это событие поднимает вопрос о возможном сотрудничестве между этими двумя группами, что влечет за собой серьезные последствия для кибербезопасности в России.

Сигналы о сотрудничестве

В ходе расследования было установлено, что руководитель Head Mare использовал инструменты и серверы управления (C2), непосредственно связанные с Twelve. Это указывает на потенциальное сотрудничество, что делает актуальным исследование их совместных тактик.

Эволюция тактики

Head Mare продемонстрировала значительный сдвиг в использовании тактик, методов и процедур (TTP). Первоначально группа полагалась на:

  • Фишинговые атаки через электронную почту;
  • Внедрение в инфраструктуру жертв через скомпрометированных подрядчиков.

Тем не менее, они начали использовать более сложные инструменты, такие как бэкдоры CobInt и PhantomJitter, что свидетельствует о росте угрозы. Последний из этих бэкдоров был представлен в августе 2024 года.

Использование уязвимостей

Злоумышленники активно используют уязвимости, в частности:

  • CVE-2023-38831 в WinRAR;
  • CVE-2021-26855 (ProxyLogon) в Microsoft Exchange Server.

Эти уязвимости усугубляются продолжением использования устаревших систем в целевых организациях, что создает дополнительные риски.

Тактические приемы и инструменты

Head Mare использует различные методы для уклонения от обнаружения. Среди таких приемов:

  • Маскировка и переименование вредоносных исполняемых файлов;
  • Очистка журналов событий;
  • Разведывательные действия с использованием системных инструментов, таких как quser.exe и tasklist.exe.

Дополнительно применяются специальные инструменты, такие как ADRecon, для сбора информации из сред Active Directory.

Заключение

Анализ показал, что Head Mare и Twelve значительно улучшили свои тактики, включая использование новых инструментов и методов, таких как ранее невиданные скрипты PowerShell. Совместные действия обеих групп подчеркивают растущую угрозу в сфере кибербезопасности, требующую постоянного мониторинга и анализа. Это необходимо для понимания их эволюционирующих методов и снижения связанных с ними рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: