Grupos Hackers Head Mare e Twelve unem forças em ataques contra à Rússia

Dois grupos hackers já conhecidos, codinome Head Mare e Twelve, provavelmente uniram forças para atacar organizações na Rússia, segundo novas descobertas da Kaspersky.

“O Head Mare passou a utilizar fortemente ferramentas anteriormente associadas ao Twelve. Além disso, os ataques do Head Mare empregaram servidores de comando e controle (C2) que antes eram utilizados exclusivamente pelo Twelve”, afirmou a empresa. “Isso sugere uma possível colaboração e campanhas conjuntas entre os dois grupos.”

Ambos os grupos foram documentados anteriormente pela Kaspersky em setembro de 2024. O Head Mare explorava uma vulnerabilidade já corrigida no WinRAR (CVE-2023-38831) para obter acesso inicial, entregar malwares e, em alguns casos, até implantar famílias de ransomware como LockBit (para Windows) e Babuk (para Linux/ESXi), exigindo resgate financeiro em troca dos dados.

Já o grupo Twelve foi observado realizando ataques destrutivos, utilizando ferramentas públicas para criptografar dados das vítimas e destruir permanentemente a infraestrutura por meio de wipers, dificultando a recuperação dos sistemas afetados.

A análise mais recente da Kaspersky aponta que o Head Mare vem utilizando duas ferramentas novas: o CobInt, um backdoor usado por grupos como ExCobalt e Crypt Ghouls em ataques a empresas russas, e um implante personalizado chamado PhantomJitter, instalado em servidores para execução remota de comandos.

O uso do CobInt também foi registrado em ataques realizados pelo Twelve, com sobreposições identificadas entre esse grupo e o Crypt Ghouls, o que indica uma possível conexão tática entre os hackers atualmente focados na Rússia.

Outras formas de acesso inicial utilizadas pelo Head Mare incluem a exploração de vulnerabilidades conhecidas no Microsoft Exchange Server (como a CVE-2021-26855, também chamada de ProxyLogon), além de e-mails de phishing com anexos maliciosos e a técnica de infiltração via redes de contratadas — conhecida como ataque por relação de confiança (trusted relationship attack).

Segundo a Kaspersky, “os invasores usaram o ProxyLogon para executar um comando que baixava e executava o CobInt no servidor”, destacando um novo mecanismo de persistência, que evita tarefas agendadas e, em vez disso, cria novos usuários locais com privilégios elevados em servidores de plataformas de automação empresarial. Essas contas são então utilizadas para conexão via RDP e execução interativa das ferramentas.

Além disso, os hackers tentam disfarçar os malwares com nomes similares a arquivos legítimos do sistema operacional (como calc.exe ou winuac.exe), limpam os logs de eventos para ocultar rastros e usam ferramentas de proxy e tunelamento como Gost e Cloudflared para camuflar o tráfego de rede.

Outras ferramentas observadas incluem:

• quser.exe, tasklist.exe, netstat.exe – reconhecimento de sistema

• fscan, SoftPerfect Network Scanner – mapeamento de rede local

• ADRecon – coleta de informações do Active Directory

• Mimikatz, secretsdump, ProcDump – extração de credenciais

• RDP – movimentação lateral

• mRemoteNG, smbexec, wmiexec, PAExec, PsExec – comunicação com hosts remotos

• Rclone – transferência de dados

Os ataques culminam com a implantação dos ransomwares LockBit 3.0 e Babuk nos sistemas comprometidos, seguida pela inserção de uma nota que orienta a vítima a entrar em contato via Telegram para restaurar os arquivos.

"A atuação do Head Mare está se tornando mais sofisticada, com a ampliação do conjunto de técnicas e ferramentas", informou a Kaspersky. "Em ataques recentes, o grupo conseguiu acesso inicial não apenas por e-mails com exploits, mas também comprometendo redes de contratadas. O Head Mare está colaborando com o Twelve para atacar empresas públicas e privadas na Rússia."

Esse cenário coincide com a investigação da BI.ZONE, que vinculou o grupo norte-coreano ScarCruft (também conhecido como APT37, Reaper, Ricochet Chollima e Squid Werewolf) a uma campanha de phishing realizada em dezembro de 2024. Essa campanha usava um carregador de malware para implantar uma carga útil desconhecida a partir de um servidor remoto.

A BI.ZONE afirmou que essa atividade se assemelha muito à campanha SHROUDED#SLEEP, documentada pela Securonix em outubro de 2024, que resultou na implantação do backdoor VeilShell em ataques a alvos no Camboja e possivelmente em outros países do Sudeste Asiático.

No mês passado, a BI.ZONE também relatou a continuidade dos ataques do grupo Bloody Wolf, que passou a utilizar o NetSupport RAT em campanhas que já comprometeram mais de 400 sistemas no Cazaquistão e na Rússia, marcando uma transição no uso de ferramentas, anteriormente centradas no STRRAT.

Via - THN