不要赎金只破坏基础设施,Twelve 黑客大肆攻击俄罗斯实体
内容提要
黑客组织“Twelve”使用公开工具对俄罗斯目标进行网络攻击,加密数据并破坏基础设施。该组织与勒索软件组织DARKSTAR有关联。攻击链包括滥用账户、远程桌面协议和承包商。工具包括Cobalt Strike、Mimikatz等。攻击者使用web shell和已知漏洞,伪装成现有产品。最后阶段使用勒索软件和清除器。攻击者使用LockBit 3.0勒索软件版本加密数据,并使用擦除器防止系统恢复。
关键要点
-
黑客组织'Twelve'使用公开工具对俄罗斯目标实施网络攻击。
-
该组织倾向于加密数据并使用擦除器破坏基础设施,而非直接勒索赎金。
-
Twelve与勒索软件组织DARKSTAR在基础架构和战术上有重合,可能相互关联。
-
攻击链通过滥用有效账户和远程桌面协议(RDP)获得初始访问权限。
-
攻击者使用多种工具,包括Cobalt Strike和Mimikatz,进行凭证窃取和权限升级。
-
攻击者伪装成现有产品以避免被发现,并使用PowerShell脚本终止安全软件进程。
-
最后阶段使用勒索软件LockBit 3.0加密数据,并使用擦除器防止系统恢复。
-
该组织使用公开的恶意软件工具,表明其没有自制工具,可能被及时发现和阻止。
延伸问答
Twelve黑客组织的主要攻击目标是什么?
Twelve黑客组织主要攻击俄罗斯的实体,倾向于加密数据并破坏基础设施。
Twelve与DARKSTAR组织有什么关系?
Twelve与DARKSTAR在基础架构和战术上有重合,可能相互关联或属于同一活动集群。
Twelve使用了哪些工具进行攻击?
Twelve使用的工具包括Cobalt Strike、Mimikatz、Chisel等,用于凭证窃取和权限升级。
Twelve的攻击链是如何运作的?
攻击链通过滥用有效账户和远程桌面协议获得初始访问权限,然后进行横向移动和数据加密。
Twelve的攻击方式与传统勒索软件有什么不同?
Twelve更倾向于加密数据并使用擦除器破坏基础设施,而不是直接勒索赎金。
Twelve的攻击对受害者造成了什么影响?
Twelve的攻击旨在对目标组织造成最大损害,破坏基础设施并防止数据恢复。
