Twelve olarak bilinen bir hacktivist grubun, Rus hedeflerine karşı yıkıcı siber saldırılar düzenlemek için kamuya açık araçlardan oluşan bir cephanelik kullandığı gözlemlendi.
Kaspersky Cuma günü yaptığı analizde, “Verileri şifresini çözmek için fidye talep etmek yerine, Twelve kurbanların verilerini şifrelemeyi ve ardından kurtarmayı önlemek için bir silme yazılımıyla altyapılarını yok etmeyi tercih ediyor” dedi.
“Bu yaklaşım, doğrudan finansal bir fayda elde etmeden hedef kuruluşlara azami zararı verme arzusunun göstergesidir.”
Rusya-Ukrayna savaşının başlamasının ardından 2023 yılının Nisan ayında kurulduğu düşünülen bilgisayar korsanlığı grubunun, kurbanların ağlarını çökertmeyi ve iş operasyonlarını aksatmayı amaçlayan siber saldırılar düzenleme geçmişi bulunuyor.
Ayrıca hassas bilgileri sızdırıp Telegram kanalında paylaştığı saldırı ve sızdırma operasyonları da gerçekleştirildiği gözlemlendi.
Kaspersky, Twelve’in DARKSTAR (diğer adıyla COMET veya Shadow) adlı bir fidye yazılımı grubuyla altyapısal ve taktiksel örtüşmelere sahip olduğunu ve bu durumun iki saldırı grubunun birbirleriyle ilişkili olma veya aynı etkinlik kümesinin parçası olma ihtimalini artırdığını söyledi.
“Aynı zamanda, Twelve’in eylemleri doğası gereği açıkça hacktivistken, DARKSTAR klasik çift gasp örüntüsüne bağlı kalıyor,” dedi Rus siber güvenlik satıcısı. “Sendika içindeki bu hedef çeşitliliği, modern siber tehditlerin karmaşıklığını ve çeşitliliğini vurguluyor.”
Saldırı zincirleri, geçerli yerel veya etki alanı hesaplarını kötüye kullanarak ilk erişimi elde etmekle başlar, ardından yanal hareketi kolaylaştırmak için Uzak Masaüstü Protokolü (RDP) kullanılır. Bu saldırıların bazıları ayrıca kurbanın yüklenicileri aracılığıyla da gerçekleştirilir.
“Bunu yapmak için, yüklenicinin altyapısına erişim sağladılar ve ardından sertifikasını kullanarak müşterisinin VPN’ine bağlandılar,” diye belirtti Kaspersky. “Buna erişim sağladıktan sonra, saldırgan müşterinin sistemlerine Uzak Masaüstü Protokolü (RDP) aracılığıyla bağlanabilir ve ardından müşterinin altyapısına girebilir.”
Twelve tarafından kullanılan diğer araçlar arasında öne çıkanlar kimlik bilgisi hırsızlığı, keşif, ağ eşleme ve ayrıcalık yükseltme için Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner ve PsExec’tir. Sisteme yapılan kötü amaçlı RDP bağlantıları ngrok üzerinden tünellenir.
Ayrıca, keyfi komutları yürütme, dosyaları taşıma veya e-posta gönderme yeteneklerine sahip PHP web kabukları da dağıtılmıştır. WSO web kabuğu gibi bu programlar GitHub’da kolayca bulunabilir.
Kaspersky tarafından araştırılan bir olayda, tehdit aktörlerinin VMware vCenter’daki bilinen güvenlik açıklarını (örneğin, CVE-2021-21972 ve CVE-2021-22005) kullanarak FaceFish adı verilen bir arka kapıyı açmak için kullanılan bir web kabuğu sundukları söyleniyor.
“Etki alanı altyapısında bir yer edinmek için saldırgan, etki alanı kullanıcılarını ve gruplarını eklemek ve Active Directory nesneleri için ACL’leri (Erişim Kontrol Listeleri) değiştirmek için PowerShell’i kullandı,” dedi. “Algılanmayı önlemek için saldırganlar kötü amaçlı yazılımlarını ve görevlerini mevcut ürün veya hizmetlerin adları altında gizlediler.”
Kullanılan isimlerden bazıları şunlardır: “Update Microsoft”, “Yandex”, “YandexUpdate” ve “intel.exe”.
Saldırılar ayrıca, tehlikeye atılan ana bilgisayarda Sophos güvenlik yazılımıyla ilgili işlemleri sonlandırmak için bir PowerShell betiğinin (“Sophos_kill_local.ps1”) kullanılmasıyla da karakterize ediliyor.
Son aşamalar, fidye yazılımları ve silme yüklerini başlatmak için Windows Görev Zamanlayıcısı’nı kullanmayı içeriyor; ancak öncesinde DropMeFiles adlı bir dosya paylaşım hizmeti aracılığıyla kurbanları hakkındaki hassas bilgiler ZIP arşivleri biçiminde toplanıyor ve sızdırılıyor.
Kaspersky araştırmacıları, “Saldırganlar, verileri şifrelemek için, herkese açık kaynak kodundan derlenen popüler LockBit 3.0 fidye yazılımının bir sürümünü kullandılar,” dedi. “Fidye yazılımı, çalışmaya başlamadan önce, tek tek dosyaların şifrelenmesine müdahale edebilecek işlemleri sonlandırıyor.”
Shamoon kötü amaçlı yazılımıyla aynı olan silme yazılımı, bağlı sürücülerdeki ana önyükleme kaydını (MBR) yeniden yazıyor ve tüm dosya içeriklerini rastgele oluşturulmuş baytlarla üzerine yazarak sistem kurtarmayı etkili bir şekilde engelliyor.
Kaspersky, “Grup, kamuya açık ve bilindik bir kötü amaçlı yazılım araçları cephaneliğine bağlı kalıyor, bu da kendisinin hiçbirini üretmediğini gösteriyor,” diye belirtti. “Bu, Twelve’in saldırılarını zamanında tespit etmeyi ve engellemeyi mümkün kılıyor.”