Due noti gruppi di attività malevola, denominati Head Mare e Twelve, avrebbero unito le forze per colpire entità russe, secondo nuove scoperte di Kaspersky. Head Mare ha utilizzato strumenti precedentemente associati a Twelve e ha sfruttato server di comando e controllo (C2) esclusivamente legati a Twelve prima di questi incidenti. Questo suggerisce una collaborazione potenziale tra i due gruppi.

Attività Documentate

Entrambi i gruppi erano stati documentati da Kaspersky nel settembre 2024. Head Mare aveva sfruttato una vulnerabilità ormai risolta in WinRAR (CVE-2023-38831) per ottenere accesso iniziale e distribuire malware. In alcuni casi, aveva persino distribuito ransomware come LockBit per Windows e Babuk per Linux in cambio di un riscatto. Twelve, invece, si era distinto per attacchi distruttivi utilizzando strumenti pubblicamente disponibili per crittografare i dati delle vittime e distruggere irrevocabilmente la loro infrastruttura.

Nuove Scoperte

L'analisi più recente di Kaspersky ha rivelato l'uso da parte di Head Mare di due nuovi strumenti, tra cui CobInt, un backdoor utilizzato da ExCobalt e Crypt Ghouls in attacchi contro aziende russe. Inoltre, un impianto su misura chiamato PhantomJitter è stato installato sui server per eseguire comandi da remoto. L'uso di CobInt è stato osservato anche negli attacchi condotti da Twelve, con sovrapposizioni tra Twelve e Crypt Ghouls che indicano una connessione tattica tra diversi gruppi attualmente attivi in Russia.

Metodi di Accesso

Altri metodi di accesso iniziale utilizzati da Head Mare includono l'abuso di vulnerabilità note in Microsoft Exchange Server, come CVE-2021-26855 (conosciuta come ProxyLogon), e l'invio di email di phishing con allegati dannosi. Inoltre, il gruppo ha compromesso le reti dei fornitori per infiltrarsi nelle infrastrutture delle vittime, una tecnica nota come "attacco di fiducia".

Tecniche di Attacco

Kaspersky ha sottolineato che gli attaccanti hanno utilizzato ProxyLogon per scaricare e lanciare CobInt sul server, impiegando un meccanismo di persistenza aggiornato che evita i task schedulati a favore della creazione di nuovi utenti locali privilegiati su una piattaforma di automazione aziendale. Questi account vengono poi utilizzati per connettersi al server tramite RDP e trasferire ed eseguire strumenti in maniera interattiva.

Oltre a dare ai payload pericolosi nomi che imitano file innocui del sistema operativo, come calc.exe o winuac.exe, gli attori hanno rimosso tracce della loro attività cancellando i log degli eventi e utilizzando strumenti di proxy e tunneling come Gost e Cloudflared per nascondere il traffico di rete.

Le campagne culminano con la distribuzione del ransomware LockBit 3.0 e Babuk sui sistemi compromessi, seguita da una nota che invita le vittime a contattarli su Telegram per decriptare i loro file. Head Mare sta attivamente ampliando il suo set di tecniche e strumenti, collaborando con Twelve per lanciare attacchi contro aziende statali e private in Russia.