В сентябре 2024 года российские компании стали объектами серии атак, которые обнаружили признаки компрометации, связанные с двумя хактивистскими группами - Head Mare и Twelve. Результаты расследования показали, что Head Mare значительно полагается на инструменты, ранее использованные Twelve, и использовала командно-контрольные серверы (C2), ранее связанные только с Twelve. Эти признаки говорят о возможном сотрудничестве и совместных кампаниях между двумя группами.
Описание
Злоумышленники продолжают улучшать свои методы, используя как знакомые инструменты из предыдущих атак Head Mare, так и новые инструменты, основанные на PowerShell.
В отчете анализируются программное обеспечение и методы, обнаруженные в последних атаках Head Mare, и их пересечения с активностью Twelve. Основное внимание уделяется техническим деталям и эволюции TTP (Tools, Techniques, and Procedures - Инструменты, Техники и Процедуры) Head Mare, а также общим чертам с TTP Twelve.
Среди инструментов, использованных Head Mare, были как общедоступные, так и секретные инструменты. Известно, что они использовали такие инструменты, как mimikatz, ADRecon, secretsdump, ProcDump, Localtonet, revsocks, ngrok, cloudflared, Gost, fscan, SoftPerfect Network Scanner, mRemoteNG, PSExec, smbexec, wmiexec, LockBit 3.0 и Babuk. Некоторые из этих инструментов уже были упомянуты в предыдущих отчетах о Head Mare, в то время как другие являются новинкой в их арсенале.
Head Mare также использовала новые инструменты, включая бэкдор CobInt и собственный бэкдор PhantomJitter, которые демонстрируют возможность обмена инструментами между группами Twelve и Head Mare.
Новая тактика злоумышленников включает проникновение в инфраструктуру жертв через скомпрометированных подрядчиков, имеющих доступ к платформам автоматизации бизнеса и RDP-соединениям. Они также используют уязвимости в программном обеспечении, такие как уязвимость CVE-2023-38831 в WinRAR и уязвимость CVE-2021-26855 (ProxyLogon) в сервере Microsoft Exchange.
Для обеспечения постоянного доступа к зараженным хостам злоумышленники использовали методы подключения через RDP и установка инструментов туннелирования трафика. Они также применяли методы защиты от обнаружения, включая переименование файлов и удаление созданных ими служб и файлов.
В итоге, Head Mare продолжает развивать свои методы и инструменты, применяя как хорошо известные техники, так и новые подходы, чтобы достичь своих целей и обеспечить постоянный доступ к зараженным системам.
Indicators of Compromise
IPv4
- 185.158.248.107
- 185.229.9.27
- 45.156.21.148
- 45.156.27.115
- 45.87.246.34
- 64.7.198.109
Domains
- 360nvidia.com
- web-telegram.uk
MD5
- 09bcfe1ccf2e199a92281aade0f01caf
- 6008e6c3deaa08fb420d5efd469590c6
- 70c964b9aeac25bc97055030a1cfb58a
- 87eecdcf34466a5945b475342ed6bcf2
- 96ec8798bba011d5be952e0e6398795d
- c21c5dd2c7ff2e4badbed32d35c891e6
- d6b07e541563354df9e57fc78014a1dc
- e930b05efe23891d19bc354a4209be3e
