Експерти з кібербезпеки виявили значний зв’язок між хактивістськими групами BlackJack і Twelve через перекриття тактик, методів і процедур (TTP).
Це відкриття висвітлює витончені методи, які використовують ці групи, і піднімає питання про їхню потенційну співпрацю або спільні цілі.
Отримані дані свідчать про спільні інструменти, шкідливе програмне забезпечення та схожі схеми атак, спрямовані на російські організації.
У цій статті ми заглиблюємося в деталі розслідування, досліджуючи наслідки цих зв’язків і те, що вони означають для захисту кібербезпеки.
Хто такі BlackJack і Twelve?
Блекджек
BlackJack виникла наприкінці 2023 року як хактивістська група, націлена на російські компанії та державні установи.
Їхньою заявленою метою, як повідомляється на їхньому Telegram-каналі, є використання вразливостей у російських мережах.
До червня 2024 року BlackJack взяла на себе відповідальність за понад десяток атак, а додаткові нерозголошені інциденти свідчать про їхню причетність.
Група покладається на вільно доступне програмне забезпечення з відкритим вихідним кодом, таке як SSH-клієнт PuTTY і очищувач Shamoon, що вказує на брак ресурсів, характерний для більш досконалих груп APT.
Зміст записки з вимогою викупу від LockBit
Twelve
Група Twelve має багато спільного з BlackJack щодо інструментів та цілей. Як і BlackJack, Twelve використовує для атак загальнодоступне програмне забезпечення, уникаючи пропрієтарних інструментів.
Перетин між цими двома групами було виявлено за допомогою телеметрії Kaspersky Security Network (KSN) та рішень Kaspersky Threat Intelligence, що дозволило виявити спільні зразки шкідливого програмного забезпечення та методології атак.
Тактики та інструменти, що збігаються
Згідно зі звітом SecureList, і BlackJack, і Twelve використовують схожі версії програми-шифрувальника Shamoon та програми-вимагача LockBit.
Shamoon-шифрувальник, що використовується BlackJack, написаний на мові Go, а версія Twelve також має схожі характеристики. Ці зразки шкідливого програмного забезпечення були знайдені в ідентичних каталогах під час різних атак:
• Sysvol\domain\scripts
• \$$DOMAIN]\netlogon\
• C:\ProgramData\
Ці специфічні каталоги дозволяють зловмисникам ефективно поширювати шкідливе програмне забезпечення в інфраструктурі жертви.
Інструменти віддаленого доступу
Обидві групи використовують інструменти віддаленого доступу (RAT) для підтримки постійного доступу до скомпрометованих систем.
BlackJack спочатку намагався використовувати Radmin, але зрештою поклався на AnyDesk для зовнішніх підключень. Аналогічно, Twelve використовує такі інструменти, як PuTTY для SSH-з’єднань у цільовій інфраструктурі.
Спільні команди та процедури
Розслідування виявило ідентичні команди, які обидві групи використовували для створення запланованих завдань і очищення журналів подій.
Ці команди свідчать про системний підхід до виконання атак із збереженням прихованості:
Створення завдання за розкладом
reg:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks{ID}:Actions”,”powershell.exe Copy-Item \\[DOMAIN]\netlogon\bj.exe -Destination C:\ProgramData
Очищення журналів подій
powershell -command wevtutil el | Foreach-Object {Write-Host Clearing $_; wevtutil cl $_}
Значний збіг у ТТП між BlackJack і Twelve свідчить про співпрацю або спільну мету проти російських цілей.
Хоча пряме встановлення авторства залишається складним завданням, схожість у зразках шкідливого програмного забезпечення, методологіях атак і виборі цілей вказує на єдиний кластер хактивістської діяльності.
Вплив на організації-мішені
Діяльність цих груп в першу чергу вплинула на урядовий, телекомунікаційний та промисловий сектори Росії.
Їхні атаки зосереджені на завданні максимальної шкоди шляхом шифрування, видалення та крадіжки даних, а не на прагненні отримати фінансову вигоду.
Виявлення перекриття TTP між BlackJack і Twelve підкреслює мінливий ландшафт кіберзагроз, які створюють хактивістські групи.
Організації повинні посилити свій захист кібербезпеки, щоб зменшити потенційні ризики, оскільки ці групи продовжують вдосконалювати свої методи і співпрацювати над тактикою.
Розуміння зв’язків між, здавалося б, розрізненими суб’єктами загроз може надати цінну інформацію про їхні стратегії та допомогти розробити більш ефективні заходи протидії.