Các điểm chính về sự hợp tác giữa Head Mare và Twelve
1. Chiến dịch chung: Kaspersky cho biết Head Mare và Twelve có thể đã hợp tác để nhằm mục tiêu vào các thực thể tại Nga. Sự hợp tác này được chỉ ra qua việc sử dụng chung các máy chủ chỉ huy và điều khiển (C2) và các công cụ.
2. Công cụ và kỹ thuật: Head Mare đã sử dụng các công cụ trước đây liên quan đến Twelve, bao gồm backdoor CobInt, công cụ này cũng đã được ExCobalt và Crypt Ghouls sử dụng trong các cuộc tấn công trước đây vào các công ty Nga. Ngoài ra, Head Mare đã triển khai một implant tùy chỉnh tên là PhantomJitter cho việc thực thi lệnh từ xa.
3. Quyền truy cập ban đầu: Head Mare thường truy cập vào cơ sở hạ tầng mục tiêu thông qua các email lừa đảo với các tệp đính kèm độc hại, khai thác các lỗ hổng trong phần mềm như WinRAR (CVE-2023-38831) và Microsoft Exchange Server (CVE-2021-26855, ProxyLogon). Họ cũng thâm nhập vào cơ sở hạ tầng nạn nhân thông qua các nhà thầu, một kỹ thuật được gọi là tấn công mối quan hệ đáng tin cậy.
4. Cơ chế duy trì: Thay vì tạo các tác vụ theo lịch, Head Mare tạo ra các tài khoản người dùng cục bộ có quyền hạn mới trên máy chủ nền tảng tự động hóa doanh nghiệp. Các tài khoản này được sử dụng để kết nối tới máy chủ qua RDP nhằm chuyển giao và thực thi các công cụ một cách tương tác.
5. Triển khai phần mềm độc hại: Các cuộc tấn công kết thúc bằng việc triển khai ransomware LockBit 3.0 và Babuk trên các máy bị xâm nhập. Các nạn nhân được khuyến cáo liên hệ với kẻ tấn công qua Telegram để giải mã tệp của họ.
6. Cơ sở hạ tầng chung: Phân tích cho thấy các nhóm này có sự chồng chéo trong cơ sở hạ tầng, bao gồm các máy chủ C2 như 360nvidia[.]com và 45.156.27[.]115, cũng như các script PowerShell truy cập vào các máy chủ C2 này.
7. Kết nối chiến thuật: Sự hiện diện của CobInt trong các cuộc tấn công của Head Mare, trước đây chỉ xuất hiện trong kho vũ khí của Twelve, cho thấy mối liên hệ chiến thuật giữa hai nhóm này. Điều này càng được củng cố bởi việc sử dụng các tên tệp, đường dẫn và tên dịch vụ tương tự trong bộ dụng cụ của cả hai nhóm.
Ví dụ thực tiễn
- Email lừa đảo: Head Mare sử dụng các email lừa đảo với các tệp đính kèm độc hại để khai thác các lỗ hổng trong phần mềm như WinRAR và Microsoft Exchange Server.
- Các nhà thầu bị xâm phạm: Nhóm này xâm phạm các nhà thầu để có quyền truy cập vào các nền tảng tự động hóa doanh nghiệp và kết nối RDP.
- Backdoor CobInt: Việc sử dụng CobInt, một backdoor trước đây liên quan đến Twelve, cho thấy sự hợp tác giữa hai nhóm này.
- Implant PhantomJitter: Sự triển khai PhantomJitter cho việc thực thi lệnh từ xa là một chiến thuật mới được sử dụng bởi Head Mare.
