Dua kluster aktivitas ancaman yang diketahui dengan kata nama, kepala kuda dan dua belas cenderung bergabung untuk menargetkan entitas Rusia, temuan baru dari Kaspersky mengungkapkan.
“Head Mare sangat bergantung pada alat yang sebelumnya terkait dengan dua belas. Selain itu, serangan kepala kuda menggunakan server perintah-dan-kontrol (C2) secara eksklusif terkait dengan dua belas sebelum insiden ini,” kata perusahaan itu. “Ini menunjukkan kolaborasi potensial dan kampanye bersama antara kedua kelompok.”
Baik kepala kuda dan dua belas sebelumnya didokumentasikan oleh Kaspersky pada bulan September 2024, dengan yang sebelumnya memanfaatkan kerentanan yang sekarang ditonton di Winrar (CVE-2023-38831) untuk mendapatkan akses awal dan memberikan malware dan dalam beberapa kasus, bahkan menggunakan ransomware keluarga Lockbit untuk Windows dan Babuk untuk Linux (ESXI) untuk pertukaran A-linux (ESXI) untuk A-In-inci).
Dua belas, di sisi lain, telah diamati melakukan pementasan serangan destruktif, mengambil keuntungan dari berbagai alat yang tersedia untuk umum untuk mengenkripsi data korban dan menghancurkan infrastruktur mereka dengan penghapus untuk mencegah upaya pemulihan.
Analisis terbaru Kaspersky menunjukkan penggunaan HEAD Mare atas dua alat baru, termasuk Cobint, sebuah pintu belakang yang digunakan oleh Excobalt dan crypt hantu dalam serangan yang ditujukan untuk perusahaan Rusia di masa lalu, serta implan dipesan lebih dahulu bernama Phantomjitter yang dipasang pada server untuk eksekusi komando jarak jauh.
Penyebaran Cobint juga telah diamati dalam serangan yang dipasang oleh dua belas, dengan tumpang tindih yang terungkap antara kru peretasan dan crypt ghouls, menunjukkan semacam hubungan taktis antara berbagai kelompok yang saat ini menargetkan Rusia.
Jalur akses awal lainnya yang dieksploitasi oleh kepala kuda termasuk penyalahgunaan kelemahan keamanan lain yang diketahui di Microsoft Exchange Server (misalnya, CVE-2021-26855 alias Proxylogon), serta melalui email phishing yang bertuliskan lampiran nakal dan kompromi jaringan kontraktor untuk menyusup ke infrastruktur korban, sebuah teknik yang diketahui sebagai teknik yang diketahui oleh teknik yang diketahui.
“Para penyerang menggunakan Proxylogon untuk menjalankan perintah untuk mengunduh dan meluncurkan Cobint di server,” kata Kaspersky, menyoroti penggunaan mekanisme kegigihan yang diperbarui yang menghindari tugas -tugas yang dijadwalkan demi menciptakan pengguna lokal yang istimewa di server platform otomatisasi bisnis. Akun -akun ini kemudian digunakan untuk terhubung ke server melalui RDP untuk mentransfer dan menjalankan alat secara interaktif.
Selain menetapkan nama muatan jahat yang meniru file sistem operasi jinak (misalnya, calc.exe atau winuac.exe), para aktor ancaman telah ditemukan untuk menghapus jejak aktivitas mereka dengan membersihkan log acara dan menggunakan alat proxy dan tunneling seperti Gost dan cloudflared untuk menyembunyikan lalu lintas jaringan.
Beberapa utilitas lain yang digunakan adalah
- Quser.exe, TaskList.exe, dan NetStat.exe untuk Pengintaian Sistem
- Pemindai jaringan fscan dan softperfect untuk pengintaian jaringan lokal
- Adrecon untuk mengumpulkan informasi dari Active Directory
- Mimikatz, SecretsDump, dan Procdump untuk memanen kredensial
- RDP untuk gerakan lateral
- Mremoteng, SMBEXEC, WMIEXEC, PAEXEC, dan PSEXEC untuk komunikasi host jarak jauh
- Rclone untuk transfer data
Serangan itu memuncak dengan penyebaran Lockbit 3.0 dan Babuk Ransomware pada host yang dikompromikan, diikuti dengan menjatuhkan catatan yang mendesak para korban untuk menghubungi mereka di telegram untuk mendekripsi file mereka.
“Head Mare secara aktif memperluas set teknik dan alatnya,” kata Kaspersky. “Dalam serangan baru-baru ini, mereka mendapatkan akses awal ke infrastruktur target dengan tidak hanya menggunakan email phishing dengan eksploitasi tetapi juga dengan mengkompromikan kontraktor. Kepala Mare bekerja dengan dua belas untuk meluncurkan serangan terhadap perusahaan yang dikendalikan oleh negara dan swasta di Rusia.”
Perkembangan ini terjadi ketika BI.Zone mengaitkan aktor ancaman terkait Korea Utara yang dikenal sebagai Scarcruft (alias APT37, Reaper, Ricochet Chollima, dan Squid Werewolf) ke kampanye phishing pada bulan Desember 2024 yang mengirimkan loader malware yang bertanggung jawab untuk mengerahkan muatan yang tidak diketahui dari server jarak jauh.
Kegiatan itu, perusahaan Rusia mengatakan, sangat menyerupai kampanye lain yang dijuluki Sleaked#Sleep yang didokumentasikan Securonix pada Oktober 2024 yang mengarah pada penyebaran pintu belakang yang disebut sebagai kerudung dalam intrusi yang menargetkan Kamboja dan kemungkinan negara -negara Asia Tenggara lainnya.
Bulan lalu, BI.Zone juga merinci serangan cyber lanjutan yang dipentaskan oleh Bloody Wolf untuk memberikan Netsupport Rat sebagai bagian dari kampanye yang telah mengkompromikan lebih dari 400 sistem di Kazakhstan dan Rusia, menandai pergeseran dari Strrat.
