Gambling Hyena и Twelfth Hyena: у двух хищников один хозяин?
Команда BI.ZONE Threat Intelligence внесла изменения в свою таксономию кибергруппировок. Если ранее исследователи выделяли группы Werewolves («оборотни») для прогосударственных хакеров и Wolves («волки») для всех остальных, то теперь кластеры активности, имеющие хактивистскую направленность, помечаются как Hyenas («гиены»).
В настоящем исследовании мы рассмотрим пересечения между двумя кластерами хактивистской активности: Gambling Hyena и Twelfth Hyena (ранее Twelfth Wolf).
Несмотря на ограниченный набор данных, которым мы располагаем, оба кластера активности демонстрируют схожие тактики, техники и процедуры. Это может указывать как на пересечение в составе участников, так и на то, что за данной активностью стоит одна и та же группа.
Атакуемые отрасли
Оба рассматриваемых кластера активности преимущественно атакуют организации, связанные с государственным управлением.
Преодоление средств защиты
Оба кластера активности связаны со злоупотреблением легитимными учетными данными, что позволяет злоумышленникам активно взаимодействовать со скомпрометированной IT‑инфраструктурой и вносить изменения в настройки прикладного программного обеспечения, в том числе нейтрализовать АВПО.
Кроме того, обоим кластерам свойственна очистка журналов событий с использованием wevtutil, например:
powershell -command wevtutil el | Foreach-Object {Write-Host Clearing $_; wevtutil cl $_}Это помогает атакующим затруднить криминалистический анализ в ходе реагирования на инцидент, если их активность будет выявлена по той или иной причине.
Получение аутентификационного материала
Возможность нейтрализовать АВПО позволила злоумышленникам для получения дополнительного аутентификационного материала использовать тривиальные инструменты, в частности Mimikatz. Более того, атакующие даже не стремились модифицировать инструмент или переименовать его. Отсутствие необходимых средств мониторинга в организациях позволило злоумышленникам оставаться незамеченными до момента реализации деструктивных действий, даже несмотря на использование легко обнаруживаемых методов.
Выполнение команд в удаленных системах
Еще один популярный инструмент, который свойственен рассматриваемым кластерам, — PsExec. Этот инструмент из пакета Sysinternals позволял злоумышленникам выполнять команды в удаленных системах. Как и Mimikatz, PsExec является широко распространенным и используется множеством атакующих, тем не менее мы подчеркиваем их использование как дополнительные совпадающие факторы.
Использование программ-вымогателей и вайперов
Для обоих кластеров активности характерно использование как программ-вымогателей, так и вайперов для нанесения ущерба скомпрометированной инфраструктуре.
Злоумышленники не занимаются разработкой собственных вредоносных программ. Вместо этого они используют программу-вымогатель, созданную с помощью билдера LockBit Black (3.0), который оказался публично доступным в сентябре 2022 года.
Сообщение в X (Twitter) со ссылкой на билдер LockBit Black (3.0)
При этом экземпляр программы-вымогателя был сконфигурирован таким образом, чтобы выдать себя за оригинальный образец ВПО. Это в том числе касалось записки с требованиями и обоев рабочего стола.
Обои рабочего стола, устанавливаемые по результатам работы программы-вымогателя
Что касается вайперов, для обоих кластеров характерно использование Shamoon 4 для уничтожения данных в скомпрометированных системах. Исходные коды данного программного обеспечения доступны на GitHub.
Репозиторий Shamoon 4 на GitHub
Примечательно, что Gambling Hyena использует вариант вайпера, переписанный на языке программирования Go (Golang).
Публикация информации о жертвах
Для обоих кластеров характерна публикация информации о жертвах в специально созданных телеграм-каналах. Так, Gambling Hyena публикует такую информацию в канале Blackjack.
Информация об одной из жертв, опубликованная в канале Blackjack
Twelfth Hyena также публикует информацию о своих жертвах в телеграм-канале, который называется TWELVE.
Информация об одной из жертв, опубликованная в канале TWELVE
Как видно на примерах, в обоих каналах сообщения опубликованы как на русском, так и на английском языке, при этом тексты тоже имеют некоторые стилистические сходства.
Тем не менее в обоих каналах появляется новая информация о жертвах: в Blackjack размещены сообщения о шести жертвах, в TWELVE — о восьми.
Несмотря на то что команда BI.ZONE Threat Intelligence рассматривает кластеры Twelfth Hyena и Gambling Hyena как отдельные, совпадения в используемых методах и инструментах могут указывать на их пересечение. Тем не менее ограниченный набор данных, которым мы располагаем, позволяет нам утверждать это лишь с низкой степенью уверенности.
| Тактика | Gambling Hyena | Twelfth Hyena |
|---|---|---|
| Initial Access |
— |
Trusted Relationship (T1199) |
|
Valid Accounts (T1078) |
Valid Accounts (T1078) |
|
| Execution |
PowerShell (T1059.001) |
PowerShell (T1059.001) |
|
Windows Command Shell (T1059.003) |
Windows Command Shell (T1059.003) |
|
|
Scheduled Task (T1053.005) |
Scheduled Task (T1053.005) |
|
| Defense Evasion |
Clear Windows Event Logs (T1070.001) |
Clear Windows Event Logs (T1070.001) |
|
— |
File Deletion (T1070:004) |
|
| Credential Access |
LSASS Memory (T1003.001) |
LSASS Memory (T1003.001) |
| Discovery |
— |
Remote System Discovery (T1018) |
|
— |
System Owner/User Discovery (T1033) |
|
|
— |
Domain Account (T1087.002) |
|
|
— |
Domain Trust Discovery (T1482) |
|
| Lateral Movement |
Remote Desktop Protocol (T1021.001) |
Remote Desktop Protocol (T1021.001) |
|
SMB/Windows Admin Shares (T1021.002) |
SMB/Windows Admin Shares (T1021.002) |
|
| Command and Control |
External Proxy (T1090.002) |
— |
| Impact |
Data Encrypted for Impact (T1486) |
Data Encrypted for Impact (T1486) |
|
Data Destruction (T1485) |
Data Destruction (T1485) |
Чтобы лучше знать актуальный ландшафт киберугроз и понимать, как именно атакуют инфраструктуры, похожие на вашу, мы рекомендуем использовать данные с платформы BI.ZONE Threat Intelligence. Решение помогает проактивно защищать бизнес благодаря аналитическим данным с исчерпывающей информацией об атакующих. Ежедневно обновляемые индикаторы компрометации повысят эффективность работы ваших средств защиты информации.