Hacktivist Group Twelve Targets Russian Entities with Destructive Cyber Attacks
Hacktivist Group Twelve Targets Russian Entities with Destructive Cyber Attacks
Twelve hacktivist group targets Russian entities with destructive cyber attacks, using public tools for maximum damage without financial gain.
thehackernews.com
- 공격 개요
- 해커 그룹 Twelve는 공개된 도구를 사용하여 러시아 기관을 대상으로 파괴적인 사이버 공격을 수행
- 공격 방식은 데이터를 암호화하고 복구 불가능하도록 인프라를 파괴하는 방식으로, 금전적 이익을 요구하지 않음
- Kaspersky에 따르면 Twelve는 최대 피해를 목표로 하며 금전적 이익을 추구하지 않는 해킹 그룹으로 분류
- 활동 배경
- 2023년 4월에 결성된 것으로 보이며, 러시아-우크라이나 전쟁이 발발한 이후 활동을 본격화
- 주요 목표는 피해자 네트워크 마비 및 업무 운영 방해를 통한 해킹 및 정보 유출 작전 수행
- DARKSTAR(aka COMET 또는 Shadow)와 인프라 및 전술적 유사성을 보이며, 같은 해킹 그룹일 가능성 존재
- 공격 방법
- 유효한 계정 정보를 남용해 초기 접근을 확보하며, 이후 RDP를 통해 횡적 이동 수행
- 피해자들의 계약업체를 통해 공격을 실행, 해당 인프라에 접근 후 VPN을 통해 피해자의 시스템에 침투
- 주요 사용 도구:
- Cobalt Strike, Mimikatz, BloodHound, PowerView
- PHP 웹 셸을 통한 임의 명령 실행 및 파일 이동, 이메일 전송
- 주요 악성 도구와 취약점 악용
- VMware vCenter의 CVE-2021-21972 및 CVE-2021-22005와 같은 알려진 취약점을 통해 웹 셸 설치
- 웹 셸을 통해 FaceFish 백도어 배포
- PowerShell을 사용해 도메인 사용자 및 그룹을 추가하고, ACL을 수정하여 탐지 회피
- 탐지 회피 전략
- 악성 프로그램을 "Microsoft Update", "Yandex", "intel.exe" 등의 이름으로 위장하여 탐지를 피하려 함
- Sophos 보안 소프트웨어 프로세스를 종료하는 PowerShell 스크립트("Sophos_kill_local.ps1") 사용
- 마무리 단계
- Windows 작업 스케줄러를 통해 랜섬웨어 및 와이퍼 페이로드를 실행
- LockBit 3.0 랜섬웨어를 사용해 데이터를 암호화하며, DropMeFiles 파일 공유 서비스를 통해 피해자 정보 유출
- 와이퍼는 Shamoon과 동일한 방식으로 마스터 부트 레코드(MBR)를 재작성하여 복구 불가능하게 만듦
- 결론
- Twelve는 공개된 도구들을 활용하며 자체 개발 악성코드는 없는 것으로 판단
- 공격 패턴이 비교적 탐지 가능하나, 사전 예방이 중요한 상황