Експерти з кібербезпеки “Лабораторії Касперського” виявили відновлення активності хакерської групи Twelve, яка спеціалізується на атаках проти російських державних компаній. Після кількох місяців затишшя група знову дала про себе знати, застосовуючи вже відомі методи та інфраструктуру.
Історія та методи роботи групи Twelve
Хакерське угруповання Twelve почало свою діяльність у квітні 2023 року, спочатку публікуючи персональні дані в Telegram-каналі. Після блокування каналу навесні 2024 року група на деякий час зникла з поля зору експертів. Однак наприкінці червня 2024 року фахівці зафіксували нову атаку, що мала характерні ознаки діяльності Twelve.
Основна мета хакерів – завдати максимальної шкоди атакованим організаціям. Вони спеціалізуються на шифруванні та знищенні даних, що суттєво ускладнює відновлення інформаційного середовища жертв.
Зв’язки з іншими хакерськими групами
Дослідники виявили, що Twelve використовує спільну інфраструктуру, утиліти та техніки (TTP) з вимагацькою групою DARKSTAR (раніше відомою як Shadow і Comet). Це вказує на те, що хакери можуть належати до одного синдикату або кластеру активності. При цьому дії Twelve мають явно хактивістський характер, тоді як DARKSTAR дотримується класичної схеми подвійного вимагання.
Методи проникнення та використані інструменти
Хоча точні методи розвідки Twelve залишаються невідомими, експерти припускають, що хакери сканують діапазони IP-адрес по всій Росії, використовуючи геотеги. Вони намагаються ідентифікувати VPN-сервери та додатки, доступні з інтернету, які можуть стати точками входу в інфраструктуру цільової організації або її підрядника.
У своїх атаках група використовує виключно відомі та вільно доступні інструменти та веб-шелли, включаючи:
- ngrok
- Cobalt Strike
- mimikatz
- chisel
- BloodHound
- PowerView
- adPEAS
- CrackMapExec
- Advanced IP Scanner
- PsExec
Тактика проникнення та бокового руху
У більшості досліджених атак зловмисники отримували доступ до інфраструктури жертв, використовуючи дійсні локальні або доменні облікові записи, VPN- або SSH-сертифікати. Після проникнення вони застосовували RDP для бокового переміщення всередині мережі.
Важливо відзначити, що Twelve часто проникає в інфраструктуру цілей через їхніх підрядників. Для цього хакери спочатку отримують доступ до систем підрядника, а потім використовують його сертифікат для підключення VPN-клієнта.
Можливості виявлення та запобігання атакам
Оскільки група Twelve не має власних розробок і покладається на загальнодоступні інструменти, експерти вважають, що їхні атаки можна своєчасно виявити та запобігти їм. Це дає можливість організаціям вжити превентивних заходів, перш ніж зловмисники встигнуть завдати значної шкоди інфраструктурі.
Для підвищення захисту від подібних атак рекомендується посилити моніторинг мережевої активності, регулярно оновлювати системи безпеки та проводити навчання персоналу з питань кібербезпеки. Особливу увагу слід приділити захисту VPN-з’єднань та контролю доступу підрядників до корпоративних ресурсів. Впровадження багатофакторної автентифікації та сегментація мережі також можуть значно ускладнити дії зловмисників.