핵티비스트 그룹 Twelve가 다시 등장하여 러시아를 표적으로 삼았습니다.

핵티비스트 그룹 Twelve가 러시아 기업을 표적으로 삼는 집중적인 캠페인으로 다시 등장했습니다. 이 그룹은 적어도 2023년 4월부터 활동해 왔습니다. 이 그룹의 목표는 운영을 방해하고 중요 자산을 파괴하는 것입니다.

러시아와 우크라이나의 갈등에 대응하여 형성되었습니다. 그룹의 운영은 중요한 인프라를 파괴하고 비즈니스 활동을 방해하는 데 중점을 두고 있습니다. 또한 민감한 데이터를 훔칩니다.

Twelve는 2024년 봄 텔레그램 채널 -=TWELVE=-이 폐쇄된 후 몇 달 동안 활동하지 않았습니다. 그러나 Kaspersky는 2024년 6월 그룹의 이전 작업과 동일한 기술과 서버를 사용하여 공격을 목격했습니다. 이는 일시적인 실종에도 불구하고 트웰브가 계속 활동하고 있음을 시사한다.

흥미롭게도 Twelve의 인프라와 기술은 이전에 Shadow 또는 COMET로 알려진 랜섬웨어 그룹과 유사합니다. 이러한 유사성은 두 그룹 사이의 가능한 연결을 암시합니다. 그러나 Twelve의 동기는 금전적 이익보다는 핵티비즘에 뿌리를 두고 있습니다.

이 그룹은 몸값을 요구하지 않고 피해자의 데이터를 암호화합니다. 그런 다음 손상된 인프라를 파괴합니다.

Hacktivist Twelve는 러시아 인프라를 표적으로 삼습니다.

Twelve는 공개적으로 사용 가능한 다양한 도구와 맬웨어를 사용하여 공격을 탐지하고 예방할 수 있도록 합니다. 툴킷에는 Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner 및 PsExec와 같은 자격 증명 도용, 네트워크 검색 및 권한 상승 도구가 포함되어 있습니다.

그룹은 합법적인 로컬 또는 도메인 계정과 VPN 또는 SSH 인증서를 남용하여 초기 액세스 권한을 얻는 경우가 많습니다. 그런 다음 측면 이동을 위해 RDP(원격 데스크톱 프로토콜)를 사용합니다. 어떤 경우에는 Twelve가 피해자의 VPN에 액세스하기 위해 인증서를 사용하도록 피해자의 계약자를 위태롭게 합니다.

이들은 손상된 서버에 웹 셸을 배포하여 임의 명령을 실행하고, 측면 이동을 수행하고, 데이터를 추출하고, 이메일을 생성 및 전송합니다. 주목할만한 공격 중 하나는 FaceFish 백도어와 관련이 있습니다. 공격자들은 VMware vCenter 서버 결함을 악용하여 임플란트를 로드하는 웹 셸을 배포했습니다.

Twelve는 PowerShell을 사용하여 도메인 사용자 및 그룹을 추가하고 Active Directory 개체에 대한 ACL(액세스 제어 목록)을 수정하여 지속성을 유지합니다. Kaspersky의 보고서에 따르면 “Twelve는 금전적 이득보다는 주로 핵티비즘에 의해 주도됩니다. ”

“이것은 그들의 작업 방식에서 분명합니다. Twelve는 데이터 해독에 대한 대가를 요구하기보다는 피해자의 데이터를 암호화한 다음 복구를 방지하기 위해 와이퍼로 인프라를 파괴하는 것을 선호합니다. 이러한 접근 방식은 직접적인 금전적 이익을 얻지 않고 대상 조직에 최대 피해를 입히려는 욕구를 나타냅니다.”