不要赎金只破坏基础设施,Twelve 黑客大肆攻击俄罗斯实体
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
黑客组织“Twelve”使用公开工具对俄罗斯目标进行网络攻击,加密数据并破坏基础设施。该组织与勒索软件组织DARKSTAR有关联。攻击链包括滥用账户、远程桌面协议和承包商。工具包括Cobalt Strike、Mimikatz等。攻击者使用web shell和已知漏洞,伪装成现有产品。最后阶段使用勒索软件和清除器。攻击者使用LockBit 3.0勒索软件版本加密数据,并使用擦除器防止系统恢复。
🎯
关键要点
- 黑客组织'Twelve'使用公开工具对俄罗斯目标实施网络攻击。
- 该组织倾向于加密数据并使用擦除器破坏基础设施,而非直接勒索赎金。
- Twelve与勒索软件组织DARKSTAR在基础架构和战术上有重合,可能相互关联。
- 攻击链通过滥用有效账户和远程桌面协议(RDP)获得初始访问权限。
- 攻击者使用多种工具,包括Cobalt Strike和Mimikatz,进行凭证窃取和权限升级。
- 攻击者伪装成现有产品以避免被发现,并使用PowerShell脚本终止安全软件进程。
- 最后阶段使用勒索软件LockBit 3.0加密数据,并使用擦除器防止系统恢复。
- 该组织使用公开的恶意软件工具,表明其没有自制工具,可能被及时发现和阻止。
🏷️
标签
➡️
