В сентябре 2024 года российские компании столкнулись с новой волной кибератак, которые эксперты связывают с активностью двух хактивистских группировок - Head Mare и Twelve. Расследование инцидентов выявило тревожные признаки возможного сотрудничества между этими группами, включая использование общих инструментов и инфраструктуры. Аналитики отмечают, что Head Mare активно заимствует методы и командные серверы, ранее применявшиеся Twelve, что может свидетельствовать о совместных операциях или даже слиянии тактик.
Описание
Атаки отличаются высокой степенью изощренности: злоумышленники комбинируют проверенные инструменты с новыми разработками на базе PowerShell, что усложняет их обнаружение. В арсенале Head Mare обнаружены как общедоступные утилиты, такие как mimikatz, ADRecon и ProcDump, так и специализированные бэкдоры, включая CobInt и PhantomJitter. Последние, по мнению исследователей, могли быть разработаны совместно с Twelve, что подтверждает гипотезу о тесном взаимодействии групп.
Особую опасность представляют новые тактики проникновения. Злоумышленники активно используют скомпрометированные учетные записи подрядчиков, имеющих доступ к корпоративным RDP-соединениям и системам автоматизации бизнеса. Кроме того, они эксплуатируют известные уязвимости, такие как CVE-2023-38831 в WinRAR и CVE-2021-26855 (ProxyLogon) в Microsoft Exchange, чтобы получить первоначальный доступ к инфраструктуре жертв.
После проникновения атакующие применяют методы туннелирования трафика через инструменты вроде ngrok и cloudflared, обеспечивая себе скрытый и устойчивый доступ к зараженным системам. Для усложнения обнаружения они также маскируют свои действия: переименовывают вредоносные файлы, удаляют следы активности и используют легитимные административные утилиты, такие как PSExec и smbexec.
Эксперты подчеркивают, что Head Mare продолжает эволюционировать, адаптируя как классические, так и инновационные подходы. Эта группа демонстрирует высокую гибкость, что делает ее особенно опасной для корпоративного сектора. Учитывая возможную координацию с Twelve, риски для российских компаний возрастают, требуя усиления мер кибербезопасности, включая мониторинг подозрительной активности и своевременное обновление ПО.
В текущих условиях организациям рекомендуется уделять особое внимание защите периметра, контролю доступа сторонних подрядчиков и регулярному аудиту уязвимостей. Без оперативных мер противодействия атаки Head Mare и Twelve могут привести к масштабным утечкам данных и финансовым потерям.
Индикаторы компрометации
IPv4
- 185.158.248.107
- 185.229.9.27
- 45.156.21.148
- 45.156.27.115
- 45.87.246.34
- 64.7.198.109
Domains
- 360nvidia.com
- web-telegram.uk
MD5
- 09bcfe1ccf2e199a92281aade0f01caf
- 6008e6c3deaa08fb420d5efd469590c6
- 70c964b9aeac25bc97055030a1cfb58a
- 87eecdcf34466a5945b475342ed6bcf2
- 96ec8798bba011d5be952e0e6398795d
- c21c5dd2c7ff2e4badbed32d35c891e6
- d6b07e541563354df9e57fc78014a1dc
- e930b05efe23891d19bc354a4209be3e
