Kaspersky’nin yeni bulguları, Head Mare ve Oniki Kolezi Koleji Mare ve Oniki’nin Rus varlıklarını hedeflemek için güçlerini birleştirdi.
Şirket, “Head Mare, daha önce on iki ile ilişkili araçlara büyük ölçüde güveniyordu. Ayrıca, bu olaylardan önce on iki ile bağlantılı komut ve kontrol (C2) sunucuları kullanılmış Head Mare saldırıları.” Dedi. “Bu, iki grup arasındaki potansiyel işbirliği ve ortak kampanyaları öneriyor.”
Hem Head Mare hem de Oniki, Eylül 2024’te Kaspersky tarafından daha önce belgelenmişti, eski, Winrar’da (CVE-2023-38831) şu anda paketlenmiş bir güvenlik açığından yararlanıyor ve hatta bazı durumlarda kötü amaçlı yazılımlar ve hatta Windows için kilitbit gibi fidye yazılım aileleri ve linux için babuk (esxi) için ransmware (esxi) için ransmware (esxi) ransm için.
Öte yandan, on iki, mağdurların verilerini şifrelemek ve toparlanma çabalarını önlemek için bir silecekle altyapılarını geri döndürülemez bir şekilde yok etmek için halka açık çeşitli araçlardan yararlanarak yıkıcı saldırıların sahnelenmesi gözlemlenmiştir.
Kaspersky’nin son analizi, Head Mare’nin geçmişte Rus firmalarına yönelik saldırılarda Excobalt ve Crypt Ghouls tarafından kullanılan bir arka kapı ve aynı zamanda uzaktan komut yürütme için sunuculara yüklenen ısmarlama bir implant da dahil olmak üzere iki yeni aracı kullandığını gösteriyor.
Cobint’in konuşlandırılması, on iki tarafından monte edilen saldırılarda da gözlemlenmiştir, hackleme ekibi ve kriptli ghouls arasında örtüşen örtüşmeler, şu anda Rusya’yı hedefleyen farklı gruplar arasında bir tür taktiksel bağlantıyı göstermiştir.
Head Mare tarafından sömürülen diğer başlangıç erişim yolları, Microsoft Exchange Server’daki diğer bilinen güvenlik kusurlarının kötüye kullanılması (örneğin, CVE-2021-26855 aka Proxylogon) ve ayrıca haydut ekleri taşıyan kimlik avı e-postaları ve müteahhitlerin ağları, mağdur altyapı olarak infazit etmek için, güvenilir ilişki saldırısı olarak bilinen bir tekniği içerir.
“Saldırganlar, sunucuda Cobint’i indirmek ve başlatmak için bir komut yürütmek için proxylogon kullandı,” dedi Kaspersky, bir iş otomasyon platformu sunucusunda yeni ayrıcalıklı yerel kullanıcılar oluşturmak için planlanan görevlerden kaçınan güncellenmiş bir kalıcılık mekanizmasının kullanımını vurguladı. Bu hesaplar daha sonra araçları etkileşimli olarak aktarmak ve yürütmek için RDP aracılığıyla sunucuya bağlanmak için kullanılır.
Benign işletim sistemi dosyalarını taklit eden kötü amaçlı yük yükleri adlarını (örneğin, calc.exe veya winuac.exe) taklit etmenin yanı sıra, tehdit aktörlerinin olay günlüklerini temizleyerek ve ağ trafiğini gizlemek için proxy ve cloudflated gibi proxy ve tünel araçlarını kullandıkları bulunmuştur.
Kullanılan diğer yardımcı programlardan bazıları
- QUSER.EXE, TaskList.exe ve NetStat.exe Sistem Keşif için
- Yerel ağ keşfi için fscan ve softperfect ağ tarayıcısı
- Active Directory’den bilgi toplamak için AdRecon
- Mimikatz, SecretsDump ve kimlik bilgisi hasat için Procdump
- Yanal hareket için RDP
- Uzak ana bilgisayar iletişimi için Mremoteng, SMBEXEC, WMIEXEC, PAEXEC ve PSEXEC
- Veri aktarımı için RCLone
Saldırılar, Lockbit 3.0 ve Babuk fidye yazılımlarının uzatılmış ana bilgisayarlara dağıtılmasıyla sonuçlanır ve ardından kurbanları dosyalarını çözmek için telgrafta kendileriyle iletişime geçmeye çağıran bir not bırakır.
Kaspersky, “Head Mare, teknik ve araç kümesini aktif olarak genişletiyor.” Dedi. “Son saldırılarda, sadece istismarlarla kimlik avı e-postaları kullanarak değil, aynı zamanda müteahhitlerden ödün vererek hedef altyapıya ilk erişim elde ettiler. Head Mare, Rusya’daki devlet ve özel kontrol altındaki şirketlere saldırı başlatmak için on iki ile çalışıyor.”
Geliştirme, Bi.zone, Scarcruft (AKA Apt37, Reaper, Ricochet Chollima ve Squid Westol) olarak bilinen Kuzey Kore bağlantılı tehdit aktörünü Aralık 2024’te, bir uzak sunucudan bilinmeyen bir yükü dağıtmaktan sorumlu bir kötü amaçlı yükleyiciye teslim eden bir kimlik avı kampanyasına bağladı.
Rus şirketi, etkinliğin, Securonix’in Ekim 2024’te Kamboçya’yı ve muhtemelen diğer Güneydoğu Asya ülkelerini hedefleyen müdahalelerde atıfta bulunulan bir arka kapının konuşlandırılmasına yol açan Securonix’in belgelendiği Shrouded#Sleep adlı başka bir kampanyaya benzediğini söyledi.
Geçen ay, Bi.zone, Kazakistan ve Rusya’da 400’den fazla sistemi tehlikeye atan bir kampanyanın bir parçası olarak Netsupport sıçanını sunmak için Bloody Wolf tarafından düzenlenen siber saldırıları da ayrıntılı olarak açıkladı.