Duas conhecidas aglomerações de atividades ameaçadoras, codinome Head Mare e Twelve, provavelmente se uniram para mirar em entidades russas, revelam novas descobertas da Kaspersky.
"Head Mare dependeu fortemente de ferramentas previamente associadas ao Twelve.
Ademais, ataques do Head Mare utilizaram servidores de comando-e-controle (C2) exclusivamente vinculados ao Twelve antes desses incidentes", afirmou a companhia.
Isso sugere uma potencial colaboração e campanhas conjuntas entre os dois grupos.
Tanto Head Mare quanto Twelve foram anteriormente documentados pela Kaspersky em setembro de 2024, com o primeiro explorando uma vulnerabilidade no WinRAR já corrigida (
CVE-2023-38831
) para obter acesso inicial e entregar malware e, em alguns casos, até mesmo implantar famílias de ransomware como LockBit para Windows e Babuk para Linux (ESXi) em troca de um resgate.
Twelve, por outro lado, foi observado realizando ataques destrutivos, tirando vantagem de várias ferramentas publicamente disponíveis para criptografar dados das vítimas e destruir irrecuperavelmente sua infraestrutura com um wiper para prevenir esforços de recuperação.
A última análise da Kaspersky mostra o uso, pelo Head Mare, de duas novas ferramentas, incluindo CobInt, um backdoor usado por ExCobalt e Crypt Ghouls em ataques visando firmas russas no passado, assim como um implante personalizado nomeado PhantomJitter, que é instalado em servidores para execução remota de comandos.
A implantação do CobInt também foi observada em ataques realizados pelo Twelve, com sobreposições descobertas entre a equipe de hackers e Crypt Ghouls, indicando algum tipo de conexão tática entre diferentes grupos atualmente mirando na Rússia.
Outros caminhos de acesso inicial explorados pelo Head Mare incluem o abuso de outras falhas de segurança conhecidas no Microsoft Exchange Server (e.g.,
CVE-2021-26855
, também conhecido como ProxyLogon), assim como através de e-mails phishing com anexos maliciosos e comprometendo redes de contratados para infiltrar a infraestrutura da vítima, uma técnica conhecida como ataque de relação confiável.
"Os atacantes usaram ProxyLogon para executar um comando para baixar e iniciar o CobInt no servidor", disse a Kaspersky, destacando o uso de um mecanismo de persistência atualizado que evita tarefas agendadas em favor de criar novos usuários locais privilegiados em um servidor de plataforma de automação empresarial.
Essas contas são então usadas para conectar ao servidor via RDP para transferir e executar ferramentas interativamente.
Além de atribuir aos payloads maliciosos nomes que imitam arquivos benignos do sistema operacional (e.g., calc.exe ou winuac.exe), os atores de ameaças foram encontrados removendo traços de sua atividade ao limpar logs de eventos e usar ferramentas de proxy e tunelamento como Gost e Cloudflared para ocultar o tráfego de rede.
Algumas das outras utilidades usadas são:
- quser.exe, tasklist.exe e netstat.exe para reconhecimento do sistema
- fscan e SoftPerfect Network Scanner para reconhecimento da rede local
- ADRecon para coletar informações do Active Directory
- Mimikatz, secretsdump e ProcDump para colheita de credenciais
- RDP para movimento lateral
- mRemoteNG, smbexec, wmiexec, PAExec e PsExec para comunicação com host remoto
- Rclone para transferência de dados
Os ataques culminam com a implantação do LockBit 3.0 e ransomware Babuk em hosts comprometidos, seguidos pela entrega de uma nota que insta as vítimas a contatá-los no Telegram para descriptografar seus arquivos.
"Head Mare está ativamente expandindo seu conjunto de técnicas e ferramentas", disse a Kaspersky.
Em ataques recentes, eles ganharam acesso inicial à infraestrutura alvo não apenas usando e-mails phishing com exploits, mas também comprometendo contratados.
Head Mare está trabalhando com Twelve para lançar ataques contra empresas controladas pelo estado e privadas na Rússia.
Esse desenvolvimento acontece enquanto a BI.ZONE vinculou o ator de ameaças ligado à Coreia do Norte conhecido como ScarCruft (aka APT37, Reaper, Ricochet Chollima e Squid Werewolf) a uma campanha de phishing em dezembro de 2024 que entregou um loader de malware responsável por implantar um payload desconhecido de um servidor remoto.
A atividade, disse a empresa russa, se assemelha muito a outra campanha apelidada de SHROUDED#SLEEP que a Securonix documentou em outubro de 2024 como levando à implantação de um backdoor referido como VeilShell em intrusões visando o Camboja e provavelmente outros países do Sudeste Asiático.
No mês passado, a BI.ZONE também detalhou ataques cibernéticos contínuos realizados pelo Bloody Wolf para entregar o NetSupport RAT como parte de uma campanha que comprometeu mais de 400 sistemas no Cazaquistão e na Rússia, marcando uma mudança do STRRAT.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...