Dos clústeres de amenazas conocidos se agrupan en el nombre de la cabeza y doce y doce que probablemente hayan unido fuerzas para atacar a las entidades rusas, revelan nuevos hallazgos de Kaspersky.
«La yegua de cabeza se basó en gran medida en las herramientas previamente asociadas con doce. Además, los ataques de la yegua de cabeza utilizaron servidores de comando y control (C2) vinculados exclusivamente a doce antes de estos incidentes», dijo la compañía. «Esto sugiere una colaboración potencial y campañas conjuntas entre los dos grupos».
Kaspersky documentó anteriormente y doce y doce fueron documentados previamente por Kaspersky en septiembre de 2024, con el primero aprovechando una vulnerabilidad ahora parada en Winrar (CVE-2023-38831) para obtener acceso inicial y entregar malware y, en algunos casos, incluso implementar familias de ransomware como Lockbit para Windows y Babuk para Linux (ESXI) en intercambio de A ransom.
Doce, por otro lado, se ha observado organizar ataques destructivos, aprovechando varias herramientas disponibles públicamente para cifrar los datos de las víctimas y destruir irrevocablemente su infraestructura con un limpiaparabrisas para evitar los esfuerzos de recuperación.
El último análisis de Kaspersky muestra el uso de dos nuevas herramientas, incluida Cobint, un trasero utilizado por Excobalt y Crypt Ghouls en ataques dirigidos a empresas rusas en el pasado, así como un implante a medida llamado Phantomjitter que está instalado en servidores para la ejecución de comandos remotos.
El despliegue de COBINT también se ha observado en ataques montados por doce, con superposiciones descubiertas entre la tripulación de piratería y la cripta ghouls, lo que indica algún tipo de conexión táctica entre los diferentes grupos que actualmente se dirigen a Rusia.
Otras vías de acceso iniciales explotadas por la yegua de cabeza incluyen el abuso de otros defectos de seguridad conocidos en Microsoft Exchange Server (por ejemplo, CVE-2021-26855, también conocido como Proxylogon), así como a través de correos electrónicos de phishing con accesorios deshonestos y redes de contratistas comprometidos para infiltrarse en infraestructura de víctimas, una técnica conocida como el ataque de relación confiable.
«Los atacantes usaron Proxylogon para ejecutar un comando para descargar y iniciar Cobint en el servidor», dijo Kaspersky, destacando el uso de un mecanismo de persistencia actualizado que evita las tareas programadas a favor de crear nuevos usuarios locales privilegiados en un servidor de plataforma de automatización de negocios. Estas cuentas se utilizan para conectarse al servidor a través de RDP para transferir y ejecutar herramientas de manera interactiva.
Además de asignar los nombres de carga útil maliciosa que imitan los archivos del sistema operativo benigno (por ejemplo, Calc.exe o Winuac.exe), se ha encontrado que los actores de amenaza eliminan rastros de su actividad al borrar registros de eventos y utilizar herramientas proxy y túneles como GOST y CloudFlared para el tráfico de red.
Algunas de las otras utilidades utilizadas son –
- quser.exe, tareas list.exe y netstat.exe para el reconocimiento del sistema
- FSCAN y escáner de red Softperfect para reconocimiento de red local
- Adrecon para recopilar información de Active Directory
- Mimikatz, Secretsdump y Procdump para la recolección de credenciales
- RDP para el movimiento lateral
- Mremoteng, SMBEXEC, WMIEXEC, PAEXEC y PSEXEC para la comunicación remota del host del host
- RClone para transferencia de datos
Los ataques culminan con el despliegue de Lockbit 3.0 y el ransomware Babuk en hosts comprometidos, seguidos de dejar una nota que insta a las víctimas a contactarlas en Telegram para descifrar sus archivos.
«Head Mare está expandiendo activamente su conjunto de técnicas y herramientas», dijo Kaspersky. «En los ataques recientes, obtuvieron acceso inicial a la infraestructura objetivo no solo utilizando correos electrónicos de phishing con exploits sino también por compromiso de contratistas. Head Mare está trabajando con doce para lanzar ataques a empresas estatales y privadas en Rusia».
El desarrollo se produce cuando Bi.zone vinculó al actor de amenaza vinculado a Corea del Norte conocido como escorruft (también conocido como APT37, Reaper, Ricochet Chollima y Squid Werewolf) a una campaña de phishing dirigida contra una entidad industrial rusa sin nombre en diciembre de 2024 que entregó un cargador de malware responsable de desplegar una carga útil desconocida de un servidor remoto.
La actividad, dijo la compañía rusa, se parece mucho a otra campaña denominada#Sleep que Securonix documentó en octubre de 2024 que conduce al despliegue de una puerta trasera denominada velo en intrusiones dirigidas a Camboya y probablemente otros países del sudeste asiático.
El mes pasado, Bi.zone también detalló los continuos ataques cibernéticos organizados por Bloody Wolf para entregar NetSupport Rat como parte de una campaña que ha comprometido más de 400 sistemas en Kazajstán y Rusia, marcando un cambio de Strrat.