内容摘要：据观察，一个名为 “Twelve ”的黑客组织使用大量公开工具对俄罗斯目标实施破坏性网络攻击。卡巴斯基在周五的分析中表示：与要求赎金解密数据不同，该组织更倾向于加密受害者的数据，然后使用擦除器破坏他们

据观察 ，不赎一个名为 “Twelve ”的金只基础黑客组织使用大量公开工具对俄罗斯目标实施破坏性网络攻击 。

卡巴斯基在周五的破坏分析中表示
 ：与要求赎金解密数据不同 
，该组织更倾向于加密受害者的设施斯实数据 ，然后使用擦除器破坏他们的黑客基础设施 ，以防止恢复 。大肆

这表明 ，攻击他们希望对目标组织造成最大程度的俄罗损害
，而不是不赎直接获得经济利益
。

据悉，金只基础该黑客组织是源码库破坏在2023年4月俄乌战争爆发后成立的，曾发起过多次网络攻击事件、设施斯实窃取敏感信息
，黑客然后通过其Telegram频道分享这些信息  。大肆

卡巴斯基称 ，攻击Twelve 与一个名为 DARKSTAR（又名 COMET 或 Shadow）的勒索软件组织在基础架构和战术上有重合之处，因此这两个黑客组织很可能相互关联  ，或者是同一活动集群的一部分。

俄罗斯网络安全厂商说：Twelve 的行动明显具有黑客活动的性质，而 DARKSTAR 则坚持典型的建站模板双重勒索模式 。集团内部目标的这种变化凸显了现代网络威胁的复杂性和多样性 。

攻击链首先通过滥用有效的本地或域账户获得初始访问权限，然后使用远程桌面协议（RDP）进行横向移动。其中一些攻击还通过受害者的承包商实施。

卡巴斯基指出 ：为此，他们获得了承包商基础设施的访问权限，然后使用其证书连接到客户的 VPN。在获得访问权限后，对手可以通过远程桌面协议（RDP）连接到客户的模板下载系统，然后侵入客户的基础设施。

Twelve 使用的其他工具包括 Cobalt Strike 、Mimikatz、Chisel、BloodHound、PowerView 、adPEAS、CrackMapExec、Advanced IP Scanner 和 PsExec，用于窃取凭证、发现
、网络映射和权限升级 。与系统的香港云服务器恶意 RDP 连接通过 ngrok 传输。

此外
 ，还部署了具有执行任意命令 、移动文件或发送电子邮件功能的 PHP web shell 。这些程序（如 WSO web shell）在 GitHub 上随时可用。

在此前的一起事件中，卡巴斯基称威胁分子利用了VMware vCenter中的已知安全漏洞（如CVE-2021-21972和CVE-2021-22005），提供了一个web shell
，然后利用这个web shell投放了一个名为FaceFish的后门。

攻击者使用 PowerShell 添加域用户和组  ，并修改 Active Directory 对象的 ACL（访问控制列表）。高防服务器而为了避免被发现，攻击者将恶意软件和任务伪装成现有产品或服务的名称  。攻击者通过使用包括 “Update Microsoft”、“Yandex”、“YandexUpdate ”和 “intel.exe”等名称伪装成英特尔、微软和 Yandex 的程序来逃避检测。

这些攻击的另一个特点是使用 PowerShell 脚本（“Sophos_kill_local.ps1”）来终止受攻击主机上与 Sophos 安全软件相关的进程 。

最后阶段需要使用 Windows 任务调度程序来启动勒索软件和清除器有效载荷，但在此之前要通过名为 DropMeFiles 的文件共享服务以 ZIP 压缩文件的形式收集和渗出受害者的服务器租用敏感信息 
。

卡巴斯基研究人员说：攻击者使用了一个流行的 LockBit 3.0 勒索软件版本，该版本由公开源代码编译而成
，用于加密数据。在开始工作之前，勒索软件会终止可能干扰单个文件加密的进程 。

与Shamoon恶意软件相同的擦除器会重写所连接驱动器上的主引导记录（MBR），并用随机生成的字节覆盖所有文件内容 ，从而有效防止系统恢复 。

卡巴斯基研究人员指出 ：该组织坚持使用公开的、人们熟悉的恶意软件工具
，这也表明它没有自制的工具 ，那么大家就还是有机会能及时发现并阻止 Twelve 的攻击。