Группа «Twelve» возникшая в 2023 году, совершает кибератаки на российские государственные компании. Их основная цель - нанести существенный ущерб своим жертвам, зашифровав и удалив данные, что препятствует любым попыткам восстановления.
Twelve
Кроме того, группировка похищает конфиденциальную информацию у своих жертв и публикует ее на своем канале в Telegram. Twelve тесно связана с группой вымогателей DARKSTAR, что позволяет предположить их принадлежность к одному и тому же синдикату или группе. Однако если действия Twelve склоняются к хактивизму, то DARKSTAR придерживается двойной схемы вымогательства. Такое разделение подчеркивает сложность и разнообразие современных киберугроз.
Методология Unified Kill Chain представляет собой основу для анализа кибератак. Фаза «Вхождение» фокусируется на начальных этапах атаки, которые включают в себя получение доступа к внутренней сети целевой организации. Злоумышленники из «Двенадцатой», скорее всего, проводят разведку, сканируя диапазоны IP-адресов в России и выявляя доступные VPN-серверы и приложения, которые могут служить точками входа в инфраструктуру цели. Для получения первоначального доступа злоумышленники используют известные и доступные инструменты, такие как ngrok, Cobalt Strike, mimikatz и другие.
В большинстве случаев Twelve получает доступ к инфраструктуре своих жертв через подрядчиков. Скомпрометировав инфраструктуру подрядчика и использовав его сертификаты, Twelve может подключиться к VPN клиента, а затем горизонтально проникнуть в его системы через протокол удаленного рабочего стола (RDP). Злоумышленники также используют веб-оболочки, которые представляют собой PHP-скрипты, позволяющие выполнять команды, перемещать файлы и даже отправлять электронные письма. Эти веб-оболочки имеют произвольные имена и часто являются общедоступными инструментами.
Проведя анализ, исследователи обнаружили значительное количество взломанных веб-серверов с веб-оболочками, расположенными по определенным путям. Наличие таких веб-оболочек свидетельствует об использовании злоумышленниками уязвимостей в веб-серверах. Эти находки свидетельствуют о передовых методах и тщательном планировании, использованных Twelve во время кибератак.
Несмотря на временную блокировку Telegram-канала Twelve, результаты недавней атаки указывают на то, что группа все еще активна и, скорее всего, скоро снова появится. Атаки этой группы представляют значительную угрозу для российских государственных компаний, поскольку они специализируются на нанесении большого ущерба и извлечении конфиденциальной информации. Понимание их тактики, методов и процедур имеет решающее значение для защиты от них и снижения потенциального воздействия их кибератак.
Indicators of Compromise
IPv4
- 109.205.56.229
- 193.110.79.47
- 195.2.79.195
- 212.109.217.88
- 217.148.143.196
- 5.8.16.147
- 5.8.16.148
- 5.8.16.149
- 5.8.16.169
- 5.8.16.170
- 5.8.16.236
- 5.8.16.238
- 79.137.69.34
- 85.204.124.94
- 89.238.132.68
- 89.33.8.198
- 91.90.121.220
MD5
- 05d80c987737e509ba8e6c086df95f7d
- 31014add3cb96eee557964784bcf8fde
- 39b91f5dfbbec13a3ec7cce670cf69ad
- 43b3520d69dea9b0a27cce43c1608cad
- 48b2e5c49f121d257b35ba599a6cd350
- 4bff90a6f7bafc8e719e8cab87ab1766
- 5c46f361090620bfdcac6afce1150fae
- 5dcd02bda663342b5ddea2187190c425
- 646a228c774409c285c256a8faa49bde
- 72830102884c5ebccf2afbd8d9a9ed5d
- 7a7c0a521b7596318c7cd86582937d98
- 7bec3c59d412f6f394a290f95975e21f
- 7dfa50490afe4553fa6889bdafda7da2
- 97aac7a2f0d2f4bdfcb0e8827a111524
- 9bd78bcf75b9011f9d7a9a6e5aee5bf6
- 9c74401a28bd71a87cdf5c17ad1dffa5
- d813f5d37ab2feed9d6a2b7d4d5b0461
- dad076c784d9fcbc506c1e614aa27f1c
- e930b05efe23891d19bc354a4209be3e
- ecb14e506727ee67220e87ced2e6781a
- f8da1f02aa64e844770e447709cdf679
- f90e95b9fcab4c1b08ca06bc2c2d6e40
