حمله گروه هکری 12 علیه نهادهای روسی

به گزارش کارگروه حملات سایبری سایبربان؛ گروه هکری 12 (TWELVE) حداقل از آوریل 2023 فعال بوده است؛ این گروه در پی درگیری بین روسیه و اوکراین تشکیل شد.

عامل تهدید بر تخریب دارایی‌های حیاتی، ایجاد اختلال در تجارت هدف و سرقت داده‌های حساس تمرکز می‌کند.

در بهار 2024، کانال تلگرام گروه به دلیل ارسال اطلاعات شخصی بر خلاف شرایط تلگرام مسدود شد. اگرچه هکرها چند ماه ناپدید شدند، اما در ژوئن 2024، شرکت امنیت سایبری کسپرسکی (Kaspersky) با استفاده از تکنیک‌های مشابه و سرورهای فرماندهی و کنترل حمله‌ای را مشاهده کرد که نشان می‌دهد گروه 12 هنوز فعال است و احتمالاً به زودی دوباره ظهور خواهد کرد.

جالب اینجاست که زیرساخت‌های گروه و تکنیک‌ها، تاکتیک‌ها و روش‌ها (TTP) مشابه گروه باج‌افزاری «DARKSTAR» است که قبلاً «Shadow» یا «COMET» نامیده می‌شد، که نشان می‌دهد این دو عامل ممکن است متعلق به یک سندیکا یا خوشه فعالیت باشند. با این حال، انگیزه پشت عملیات 12، هکتیویسم است.

این گروه نهادهای روسی را هدف قرار می‌دهد، داده‌های قربانیان را بدون درخواست باج رمزگذاری و سپس زیرساخت‌های آنها را با یک پاک‌کن نابود می‌کند تا عملیات خود را از بین ببرد.

گروه هکری 12 به ابزارها و بدافزارهای در دسترس عموم متکی است که تشخیص و جلوگیری از حملات را در زمان مقرر ممکن می‌سازد. در زرادخانه گروه، ابزارهایی برای سرقت اعتبار، کشف شبکه و افزایش امتیازات وجود دارد. برخی ابزارهای مورد استفاده این گروه عبارتند از : «Cobalt Strike»، «mimikatz»، «chisel»، «BloodHound»، «PowerView»، «adPEAS»، «CrackMapExec»، اسکنر آی‌پی چیشرفته (Advanced IP Scanner) و «PsExec».

به گفته کارشناسان، عامل تهدید با سوءاستفاده از حساب‌های محلی یا دامنه معتبر، گواهی‌های وی‌پی‌ان یا «SSH» به دسترسی اولیه می‌رسد. سپس عامل تهدید برای تسهیل حرکت جانبی به پروتکل دسکتاپ از راه دور (RDP) تکیه می‌کند؛ مهاجمان همچنین زیرساخت قربانی را با هدف قرار دادن برخی پیمانکاران آن به خطر انداختند. هنگامی که زیرساخت پیمانکار به خطر افتاد، مهاجمان از گواهی آن برای اتصال به وی‌پی‌ان مشتری خود استفاده کردند.

گروه 12 پوسته‌های وب را برای انجام فعالیت‌های مخرب، از جمله اجرای دستورات دلخواه، حرکات جانبی، استخراج داده‌ها و ایجاد و ارسال ایمیل، روی سرورهای وب در معرض خطر مستقر می‌کند.

کسپرسکی حمله‌ای را بررسی کرد که شامل درپشتی «FaceFish» بود، مهاجمان از نقص‌های سرور VMware vCenter CVE-2021-21972 و CVE-2021-22005 برای استقرار پوسته وب مورد استفاده برای بارگذاری ایمپلنت خود سوء استفاده کردند.

این گروه با استفاده از پاورشل (PowerShell) برای افزودن کاربران و گروه‌های دامنه و تغییر لیست‌های کنترل دسترسی (ACL) برای اشیاء «Active Directory»، پایداری خود را حفظ می‌کند.

در نتیجه‌گیری شرکت سایبری کسپرسکی آمده است :

«گروه 12 به جای درخواست باج برای رمزگشایی داده‌ها، ترجیح می‌دهد داده‌های قربانیان را رمزگذاری و سپس زیرساخت‌های آن‌ها را با یک پاک‌کن نابود کند تا از بازیابی جلوگیری شود. این رویکرد نشان‌دهنده تمایل به وارد کردن حداکثر خسارت به سازمان‌های هدف بدون کسب منافع مالی مستقیم است.»