Исследователи Kaspersky Lab обнаружили значительные совпадения в инструментах и тактике, используемых двумя хактивистскими группами, BlackJack и Twelve, что позволяет предположить, что они могут быть частью единого кластера деятельности.
BlackJack APT
Обе группы нацелены на организации в России и используют схожие вредоносные программы, инструменты с открытым исходным кодом и процедуры. BlackJack появилась в конце 2023 года и взяла на себя ответственность за множество атак. Они используют общедоступные инструменты, такие как PuTTY и AnyDesk, для удаленного доступа и Ngrok для поддержания устойчивости во взломанных сетях.
BlackJack и Twelve используют практически идентичные версии вымогателей LockBit и чистильщиков на базе Shamoon, часто размещая их в одних и тех же сетевых каталогах. Еще одно сходство между группировками заключается в выполнении команд, соглашениях об именовании и использовании таких инструментов, как PsExec и Mimikatz. Есть и небольшие различия между группами. Например, BlackJack использует AnyDesk для удаленного доступа, в то время как Twelve использует дополнительные инструменты, такие как chisel, BloodHound, adPEAS и CrackMapExec. Такая зависимость от утилит с открытым исходным кодом подчеркивает хактивистскую природу групп, позволяя им работать без фирменных инструментов и при этом наносить существенный ущерб своим целям.
В отчете также сообщается о недавнем обнаружении нового вида деятельности, очень напоминающего операции BlackJack и Twelve. Хотя авторство не подтверждено, образцы вредоносного ПО и методы указывают на тесную связь с кластером активности этих групп. Обе группы сосредоточены на нанесении ущерба своим целям, а не на поиске финансовой выгоды, в основном путем шифрования и удаления данных из организаций, которые они атакуют, что подтверждает их хактивистскую природу.
Indicators of Compromise
MD5
- 5f88a76f52b470dc8e72bba56f7d7bb2
- bf402251745df3f065ebe2ffdec9a777
- da30f54a3a14ad17957c88bf638d3436
- ed5815ddad8188c198e0e52114173cb6
