Un gruppo di hacktivisti chiamato Twelve è stato recentemente osservato utilizzare un arsenale di strumenti pubblicamente disponibili per condurre attacchi informatici distruttivi contro obiettivi russi. Questo gruppo, formato nell'aprile 2023 in seguito alla guerra Russo-Ucraina, si distingue per la sua intenzione di causare il massimo danno possibile alle organizzazioni bersaglio senza trarne alcun beneficio finanziario diretto. A differenza dei gruppi di ransomware che chiedono riscatti per decriptare i dati, Twelve preferisce criptare i dati delle vittime e poi distruggere la loro infrastruttura con un wiper per impedire il recupero.

Kaspersky ha rivelato che Twelve condivide somiglianze infrastrutturali e tattiche con un gruppo di ransomware noto come DARKSTAR

suggerendo che i due gruppi potrebbero essere correlati o parte dello stesso cluster di attività. Mentre le azioni di Twelve sono chiaramente di natura hacktivista, DARKSTAR segue il classico schema di doppia estorsione. Questa variazione di obiettivi all'interno del sindacato sottolinea la complessità e la diversità delle minacce informatiche moderne.

La catena di attacco di Twelve

inizia con l'accesso iniziale tramite l'abuso di account locali o di dominio validi, utilizzando successivamente il Remote Desktop Protocol (RDP) per facilitare il movimento laterale. Alcuni di questi attacchi vengono effettuati anche tramite i fornitori delle vittime. Gli aggressori accedono all'infrastruttura del fornitore e utilizzano il suo certificato per connettersi alla VPN del cliente, permettendo loro di penetrare ulteriormente nei sistemi del cliente.

Tra gli strumenti utilizzati da Twelve

vi sono Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner e PsExec per il furto di credenziali, la scoperta, la mappatura della rete e l'escalation dei privilegi. Le connessioni RDP malevole sono canalizzate tramite ngrok. Vengono anche impiegati web shell PHP con capacità di eseguire comandi arbitrari, spostare file o inviare email. Un esempio di questi programmi è la web shell WSO, facilmente reperibile su GitHub.

In un incidente indagato da Kaspersky

gli attori della minaccia hanno sfruttato vulnerabilità di sicurezza note (ad esempio, CVE-2021-21972 e CVE-2021-22005) in VMware vCenter per distribuire una web shell che poi è stata usata per installare una backdoor chiamata FaceFish. Gli aggressori hanno utilizzato PowerShell per aggiungere utenti e gruppi di dominio e modificare le ACL (Access Control Lists) per gli oggetti di Active Directory, mascherando il loro malware e le loro attività sotto nomi di prodotti o servizi esistenti come "Update Microsoft," "Yandex," "YandexUpdate," e "intel.exe."

Le ultime fasi degli attacchi prevedono l'uso del Task Scheduler di Windows per lanciare payload di ransomware e wiper, ma non prima di raccogliere ed esfiltrare informazioni sensibili sulle vittime tramite un servizio di condivisione file chiamato DropMeFiles. I ricercatori di Kaspersky hanno rilevato che il ransomware utilizzato è una versione del popolare LockBit 3.0, compilata da codice sorgente disponibile pubblicamente. Il wiper, identico al malware Shamoon, riscrive il master boot record (MBR) sui drive collegati e sovrascrive tutti i contenuti dei file con byte generati casualmente, impedendo in modo efficace il recupero del sistema.