Dos clústeres de amenazas conocidos se agrupan en el nombre de la capital y doce y doce que probablemente hayan unido fuerzas para atacar a las entidades rusas, revelan nuevos hallazgos de Kaspersky.
“La jaca de capital se basó en gran medida en las herramientas previamente asociadas con doce. Por otra parte, los ataques de la jaca de capital utilizaron servidores de comando y control (C2) vinculados exclusivamente a doce ayer de estos incidentes”, dijo la compañía. “Esto sugiere una colaboración potencial y campañas conjuntas entre los dos grupos”.
Kaspersky documentó anteriormente y doce y doce fueron documentados previamente por Kaspersky en septiembre de 2024, con el primero aprovechando una vulnerabilidad ahora parada en Winrar (CVE-2023-38831) para obtener camino original y entregar malware y, en algunos casos, incluso implementar familias de ransomware como Lockbit para Windows y Babuk para Linux (ESXI) en intercambio de A ransom.
Doce, por otro flanco, se ha observado organizar ataques destructivos, aprovechando varias herramientas disponibles públicamente para abreviar los datos de las víctimas y destruir irrevocablemente su infraestructura con un limpiaparabrisas para evitar los esfuerzos de recuperación.
El posterior exploración de Kaspersky muestra el uso de dos nuevas herramientas, incluida Cobint, un trasero utilizado por Excobalt y Crypt Ghouls en ataques dirigidos a empresas rusas en el pasado, así como un implante a medida llamado Phantomjitter que está instalado en servidores para la ejecución de comandos remotos.
El despliegue de COBINT además se ha observado en ataques montados por doce, con superposiciones descubiertas entre la tripulación de piratería y la cripta ghouls, lo que indica algún tipo de conexión táctica entre los diferentes grupos que actualmente se dirigen a Rusia.
Otras vías de camino iniciales explotadas por la jaca de capital incluyen el desmán de otros defectos de seguridad conocidos en Microsoft Exchange Server (por ejemplo, CVE-2021-26855, además conocido como Proxylogon), así como a través de correos electrónicos de phishing con accesorios deshonestos y redes de contratistas comprometidos para infiltrarse en infraestructura de víctimas, una técnica conocida como el ataque de relación confiable.
“Los atacantes usaron Proxylogon para ejecutar un comando para descargar y iniciar Cobint en el servidor”, dijo Kaspersky, destacando el uso de un mecanismo de persistencia actualizado que evita las tareas programadas a auxilio de crear nuevos usuarios locales privilegiados en un servidor de plataforma de automatización de negocios. Estas cuentas se utilizan para conectarse al servidor a través de RDP para transferir y ejecutar herramientas de forma interactiva.
Por otra parte de asignar los nombres de carga útil maliciosa que imitan los archivos del sistema eficaz bienhechor (por ejemplo, Calc.exe o Winuac.exe), se ha antitético que los actores de amenaza eliminan rastros de su actividad al borrar registros de eventos y utilizar herramientas proxy y túneles como GOST y CloudFlared para el tráfico de red.
Algunas de las otras utilidades utilizadas son –
- quser.exe, tareas list.exe y netstat.exe para el agradecimiento del sistema
- FSCAN y escáner de red Softperfect para agradecimiento de red tópico
- Adrecon para compilar información de Active Directory
- Mimikatz, Secretsdump y Procdump para la convento de credenciales
- RDP para el movimiento pegado
- Mremoteng, SMBEXEC, WMIEXEC, PAEXEC y PSEXEC para la comunicación remota del host del host
- RClone para transferencia de datos
Los ataques culminan con el despliegue de Lockbit 3.0 y el ransomware Babuk en hosts comprometidos, seguidos de dejar una nota que insta a las víctimas a contactarlas en Telegram para descifrar sus archivos.
“Head Mare está expandiendo activamente su conjunto de técnicas y herramientas”, dijo Kaspersky. “En los ataques recientes, obtuvieron camino original a la infraestructura objetivo no solo utilizando correos electrónicos de phishing con exploits sino además por compromiso de contratistas. Head Mare está trabajando con doce para difundir ataques a empresas estatales y privadas en Rusia”.
El expansión se produce cuando Bi.zone vinculó al actor de amenaza vinculado a Corea del Finalidad conocido como escorruft (además conocido como APT37, Reaper, Ricochet Chollima y Squid Werewolf) a una campaña de phishing dirigida contra una entidad industrial rusa sin nombre en diciembre de 2024 que entregó un cargador de malware responsable de desplegar una carga útil desconocida de un servidor remoto.
La actividad, dijo la compañía rusa, se parece mucho a otra campaña denominada#Sleep que Securonix documentó en octubre de 2024 que conduce al despliegue de una puerta trasera denominada velo en intrusiones dirigidas a Camboya y probablemente otros países del sudeste oriental.
El mes pasado, Bi.zone además detalló los continuos ataques cibernéticos organizados por Bloody Wolf para entregar NetSupport Rat como parte de una campaña que ha comprometido más de 400 sistemas en Kazajstán y Rusia, marcando un cambio de Strrat.
