Sebuah kelompok peretas yang dikenal sebagai Twelve telah terlihat menggunakan serangkaian alat yang tersedia untuk publik untuk melakukan serangan siber yang merusak terhadap target-target Rusia.
“Daripada meminta tebusan untuk mendekripsi data, Twelve lebih memilih mengenkripsi data korban dan kemudian menghancurkan infrastrukturnya dengan wiper untuk mencegah pemulihan,” kata Kaspersky dalam analisis hari Jumat.
“Pendekatan ini menunjukkan keinginan untuk menimbulkan kerusakan sebesar-besarnya pada organisasi sasaran tanpa memperoleh keuntungan finansial secara langsung.”
Kelompok peretas tersebut, yang diyakini dibentuk pada April 2023 setelah dimulainya perang Rusia-Ukraina, memiliki rekam jejak dalam melakukan serangan siber yang bertujuan melumpuhkan jaringan korban dan mengganggu operasi bisnis.
Ia juga terlihat melakukan operasi peretasan dan kebocoran yang mencuri informasi sensitif, yang kemudian dibagikan di saluran Telegramnya.
Kaspersky mengatakan Twelve berbagi tumpang tindih infrastruktur dan taktis dengan kelompok ransomware bernama DARKSTAR (alias COMET atau Shadow), yang memunculkan kemungkinan bahwa kedua set intrusi tersebut kemungkinan terkait satu sama lain atau merupakan bagian dari klaster aktivitas yang sama.
“Pada saat yang sama, sementara tindakan Twelve jelas bersifat hacktivist, DARKSTAR tetap berpegang pada pola pemerasan ganda klasik,” kata vendor keamanan siber Rusia tersebut. “Variasi tujuan dalam sindikat ini menggarisbawahi kompleksitas dan keragaman ancaman siber modern.”
Rangkaian serangan dimulai dengan mendapatkan akses awal dengan menyalahgunakan akun lokal atau domain yang valid, setelah itu Protokol Desktop Jarak Jauh (RDP) digunakan untuk memfasilitasi pergerakan lateral. Beberapa serangan ini juga dilakukan melalui kontraktor korban.
“Untuk melakukan ini, mereka memperoleh akses ke infrastruktur kontraktor dan kemudian menggunakan sertifikatnya untuk terhubung ke VPN milik pelanggannya,” Kaspersky mencatat. “Setelah memperoleh akses ke sana, penyerang dapat terhubung ke sistem pelanggan melalui Protokol Desktop Jarak Jauh (RDP) dan kemudian menembus infrastruktur pelanggan.”
Alat-alat lain yang digunakan oleh Twelve antara lain Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner, dan PsExec untuk pencurian kredensial, penemuan, pemetaan jaringan, dan peningkatan hak istimewa. Koneksi RDP berbahaya ke sistem disalurkan melalui ngrok.
Shell web PHP dengan kemampuan untuk menjalankan perintah acak, memindahkan file, atau mengirim email juga digunakan. Program-program ini, seperti shell web WSO, tersedia di GitHub.
Dalam satu insiden yang diselidiki oleh Kaspersky, pelaku ancaman dikatakan telah mengeksploitasi kerentanan keamanan yang diketahui (misalnya, CVE-2021-21972 dan CVE-2021-22005) di VMware vCenter untuk mengirimkan web shell yang kemudian digunakan untuk menjatuhkan pintu belakang yang dijuluki FaceFish.
“Untuk mendapatkan pijakan di infrastruktur domain, penyerang menggunakan PowerShell untuk menambahkan pengguna dan grup domain, dan untuk mengubah ACL (Access Control Lists) untuk objek Active Directory,” katanya. “Untuk menghindari deteksi, penyerang menyamarkan malware dan tugas mereka dengan nama produk atau layanan yang ada.”
Beberapa nama yang digunakan meliputi “Update Microsoft,” “Yandex,” “YandexUpdate,” dan “intel.exe.”
Serangan tersebut juga ditandai dengan penggunaan skrip PowerShell (“Sophos_kill_local.ps1”) untuk menghentikan proses yang terkait dengan perangkat lunak keamanan Sophos pada host yang disusupi.
Tahapan penutup memerlukan penggunaan Penjadwal Tugas Windows untuk meluncurkan muatan ransomware dan wiper, tetapi tidak sebelum mengumpulkan dan mengekstraksi informasi sensitif tentang korbannya melalui layanan berbagi file yang disebut DropMeFiles dalam bentuk arsip ZIP.
“Para penyerang menggunakan versi ransomware LockBit 3.0 yang populer, yang dikompilasi dari kode sumber yang tersedia untuk umum, untuk mengenkripsi data,” kata peneliti Kaspersky. “Sebelum mulai bekerja, ransomware tersebut menghentikan proses yang dapat mengganggu enkripsi file individual.”
Wiper, identik dengan malware Shamoon, menulis ulang master boot record (MBR) pada drive yang terhubung dan menimpa semua konten file dengan byte yang dihasilkan secara acak, yang secara efektif mencegah pemulihan sistem.
“Kelompok ini menggunakan perangkat lunak perusak yang tersedia untuk umum dan sudah dikenal, yang menunjukkan bahwa mereka tidak membuat perangkat sendiri,” kata Kaspersky. “Hal ini memungkinkan untuk mendeteksi dan mencegah serangan Twelve pada waktunya.”