Из 12 в 21: как мы обнаружили связи между группировками Twelve и BlackJack

Исследуя атаки на российские организации, наша команда регулярно сталкивается с тем, что у различных группировок могут пересекаться тактики, техники, процедуры (TTP), а иногда и инструментарий. Недавно мы обнаружили одно такое пересечение: схожие инструменты и тактики двух хактивистских группировок — BlackJack и Twelve, которые, вероятно, относятся к единому кластеру активности.

В этом исследовании мы предоставим информацию об актуальных процедурах, легитимных инструментах и вредоносном ПО, которые использует группировка BlackJack, и продемонстрируем их сходство с артефактами, связанными с атаками Twelve. Также мы проанализируем еще одну недавно обнаруженную активность, которая имеет много общего с деятельностью потенциального кластера.

Кто такие BlackJack?

BlackJack — это хактивистская группировка, заявившая о себе в конце 2023 года и нацеленная на компании, расположенные на территории России. В своем Telegram-канале группировка заявляет, что занимается поиском уязвимостей в сетях российских организаций и госучреждений.

По состоянию на июнь 2024 года хактивисты BlackJack публично взяли на себя ответственность за более чем десяток атак. При этом в нашей телеметрии есть информация и о других, непубличных атаках, индикаторы которых позволяют предполагать, что за ними стоит BlackJack.

Группировка использует только свободно распространяемое ПО и ПО с открытым исходным кодом, будь то SSH-клиент PuTTY или вайпер Shamoon, код которого уже несколько лет доступен на GitHub. Это еще раз подтверждает, что группировка является хактивистской и не обладает ресурсами, характерными для крупных APT-группировок.

Вредоносное ПО и легитимные инструменты в атаках BlackJack

Вайпер — Shamoon

Группировка BlackJack использует в атаках вайпер, который представляет собой версию Shamoon, написанную на Go. Благодаря статическому анализу нам удалось извлечь следующие характерные строки:

Строки из вайпера

В ходе исследований мы находили образцы Shamoon по следующим путям:

Шифровальщик — LockBit

Помимо вайпера, для нанесения ущерба своим жертвам группировка использует утекшую версию шифровальщика LockBit.

Вердикты, с которыми детектируется версия шифровальщика LockBit группы BlackJack, источник: Kaspersky Threat Intelligence Portal (TIP)

Мы обнаружили шифровальщик в тех же каталогах, что и вайпер:

Сетевые каталоги для размещения вредоносного ПО выбраны не случайно. Это позволяет злоумышленникам распространять свои образцы по всей инфраструктуре жертвы и впоследствии помещать их в C:\ProgramData\ для дальнейшего выполнения в системе.

Для запуска LockBit злоумышленники используют запланированные задачи, содержащие следующую командную строку (32-значный пароль может отличаться в зависимости от хоста или жертвы):

Записка содержит только название группировки:

Содержимое записки шифровальщика LockBit

Это подтверждает то, что группировка ставит своей целью не получение финансовой выгоды, а нанесение ущерба взломанной организации.

Ngrok

Для поддержания постоянного доступа к скомпрометированным ресурсам жертвы злоумышленники используют туннелирование с помощью широко распространенной утилиты ngrok. Утилита и ее файл конфигурации были обнаружены в следующих каталогах:

А вот список обнаруженных команд, связанных с выполнением ngrok:

Radmin, AnyDesk, PuTTY

Для обеспечения удаленного доступа к системе BlackJack устанавливает различные средства удаленного доступа (RAT — Remote Access Tool). Судя по изученным инцидентам, злоумышленники изначально пытались использовать утилиту Radmin, однако все внешние подключения, которые мы наблюдали, осуществлялись с помощью AnyDesk.

В ходе установки RAT злоумышленники создавали следующие службы:

Кроме того, для подключения к некоторым хостам внутри инфраструктуры использовался популярный SSH-клиент PuTTY.

Связь с группировкой Twelve

Описанные выше вредоносные и легитимные инструменты во многом пересекаются с арсеналом хактивистской группы Twelve. Эта группа также полагается на общедоступное ПО и не использует в атаках собственные разработки.

Большинство связей и пересечений между двумя группами нам удалось обнаружить благодаря телеметрии Kaspersky Security Network (KSN) и решениям Threat Intelligence «Лаборатории Касперского». KSN — это сложная облачная инфраструктура, которая собирает и анализирует анонимные данные о киберугрозах от сотен миллионов добровольных участников по всему миру.

Сходство образцов вредоносного ПО

Для начала рассмотрим сходство обнаруженных нами образцов шифровальщиков и вайперов группировок BlackJack и Twelve. Ниже приведена информация с Kaspersky Threat Intelligence Portal (TIP) о файле шифровальщика LockBit, обнаруженном в ходе расследования атак BlackJack:

Информация о файле BlackJack

Образец имеет название bj.exe — предположительно это сокращение от имени группировки BlackJack. Помимо прочего, на странице TIP можно видеть список похожих файлов, составленный с помощью технологии Similarity, которая позволяет идентифицировать файлы с аналогичными паттернами. Хотя образец, который используют хактивисты, создан с помощью утекшего в открытый доступ билдера LockBit, Similarity находит в первую очередь максимально близкие к нему файлы. Обратите внимание на первый хэш в списке — 39B91F5DFBBEC13A3EC7CCE670CF69AD.

Список похожих файлов

Проверив этот хэш на Threat Intelligence Portal, мы видим, что он упоминается в нашем недавнем расследовании, связанном с группировкой Twelve.

Это дает нам основание предполагать, что группировки используют похожие образцы шифровальщика LockBit. Кроме того, анализ конфигурации двух рассмотренных образцов (BlackJack и Twelve) показал, что в них полностью совпадает список исключений (файлов, директорий и расширений, которые не подлежат шифрованию).

Как и в случае с образцом LockBit группировки BlackJack, среди информации о шифровальщике группы Twelve есть список похожих файлов.

Список похожих файлов

Проверив один из них (подчеркнутый красным на скриншоте выше), мы обнаружили, что файл имеет название bj.exe. То есть это еще один экземпляр шифровальщика группы BlackJack, что лишний раз указывает на то, что сравниваемые группы используют очень похожие образцы шифровальщика LockBit.

Ниже представлен список путей, по которым были обнаружены образцы LockBit в ходе расследования инцидентов, связанных с группировками BlackJack и Twelve:

Подводя итоги анализа шифровальщика, можно сделать следующие выводы:

• Обе группировки используют похожие образцы шифровальщика LockBit.
• Пути, по которым были обнаружены эти образцы, практически идентичны.

Продолжим поиск дальнейших связей.

Повторное использование вайпера

Исследование образцов вайперов из инцидентов, связанных с группировками BlackJack и Twelve, также показало сходство между ними.

Оба вайпера перезаписывают MBR-запись практически идентичными строками-заглушками:

MBR-заглушка вайпера BlackJack

MBR-заглушка вайпера Twelve

Проанализировав вайпер BlackJack на Threat Intelligence Portal, мы выяснили, что в некоторых случаях он извлекался из следующего архива:

Информация об архиве, содержащем вайпер BlackJack

Изучив архив, мы видим, что в нем также содержится шифровальщик Chaos — 646A228C774409C285C256A8FAA49BDE:

Файл шифровальщика в архиве

Более того, этот файл упоминался в нашем отчете о группировке Twelve. То есть в одном архиве распространяется вредоносное ПО обеих группировок.

Проверив имена файлов и пути, мы обнаруживаем уже знакомый нам сетевой каталог \\sysvol\domain\script.

Имена и пути файла

Помимо этого, в ходе расследования атак, проводимых группировкой Twelve, мы также обнаружили использование вайперов на базе Shamoon. Более того, по данным KSN, конкретный вариант Shamoon, фигурировавший в атаках группировки BlackJack, также был замечен в некоторых атаках Twelve.

По аналогии с анализом шифровальщика LockBit мы решили изучить пути, по которым были обнаружены вайперы в инцидентах, связанных с атаками группировок BlackJack и Twelve. Как видно из приведенной ниже таблицы, эти пути идентичны:

Подводя итоги анализа вайпера Shamoon, можно с уверенностью сказать, что обе группировки используют его или его компоненты в своих атаках, а также размещают их в одинаковых каталогах. При этом версия Shamoon, ставшая доступной в результате утечки, написана на C#, тогда как варианты этого вайпера, использованные в атаках BlackJack и Twelve, переписаны на Go, что также говорит в пользу связи между этими группировками.

Знакомые команды и утилиты

Помимо связей, выявленных на основе анализа образцов вредоносного ПО, нам также удалось обнаружить совпадения в командах и утилитах, используемых группировками.

Ниже можно увидеть команды, обнаруженные в атаках группировок BlackJack и Twelve.

Создание запланированных задач:

Очистка журналов событий:

Как мы видим, за исключением имен исполняемых файлов, команды полностью совпадают.

Список общедоступных утилит, используемых группировками, также частично совпадает:

Новая активность

В ходе наших исследований мы также обнаружили еще одну активность, которая сильно напоминает описанные выше. На данный момент мы не можем однозначно утверждать, к какой конкретной группировке относится эта активность, однако образцы вредоносного ПО и процедуры явно указывают на то, что источником является исследуемый кластер активности.

Сходства, которые мы обнаружили, перечислены ниже:

1. Найденный вайпер содержит характерные строки, которые мы видели в вайперах Twelve и BlackJack, а также создает похожую MBR-запись.
2. Вайпер распространяется через сетевой каталог sysvol и сохраняется с помощью запланированного задания, которое копирует его в уже знакомый нам каталог C:\ProgramData:
   
   reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` Copy-Item `\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\letsgo.exe` -Destination `C:\ProgramData`

   1 2 3

   reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` Copy-Item `\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\letsgo.exe` -Destination `C:\ProgramData`

3. Как и в случае с атаками BlackJack и Twelve, прежде чем уничтожить данные вайпером, злоумышленники запускают шифровальщик (enc.exe), который также копируется из сетевой папки в C:\ProgramData:
   
   reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` Copy-Item `\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\enc.exe` -Destination `C:\ProgramData`

   1 2 3

   reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` Copy-Item `\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\enc.exe` -Destination `C:\ProgramData`

4. Как и у группировки Twelve, выполнение вайпера, а также копирование вайпера и шифровальщика из сетевого каталога в папку C:\ProgramData осуществляются с помощью запланированных задач:

Также в ходе исследования этой активности были обнаружены различные артефакты и процедуры, которых мы не видели в атаках BlackJack и Twelve:

1. Использование PowerShell-командлета Get-MpPreference для сбора информации об отключенных функциях Windows Defender:
   
   powershell.exe` -ex bypass -c Get-MpPreference | fl disable*

   1	powershell.exe` -ex bypass -c Get-MpPreference | fl disable*

2. Создание запланированных задач:
   

   Имя задачи	Командная строка	Описание
   \run1	reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`cmd.exe` /c C:\ProgramData\letsgo.exe 1 reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`cmd.exe` /c C:\ProgramData\letsgo.exe	Исполнение вайпера из папки C:\ProgramData
   \def	reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` -ex bypass -c Get-MpPreference | fl disable* 1 reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` -ex bypass -c Get-MpPreference | fl disable*	Сбор информации об отключенных функциях Защитника Windows

3. Использование WMIExec для перемещения в корневой каталог:
   
   cmd.exe /Q /c cd \ 1> \\127.0.0.1\ADMIN$\__1710197641.3559299 2>&1

   1	cmd.exe /Q /c cd \ 1> \\127.0.0.1\ADMIN$\__1710197641.3559299 2>&1

Жертвы

Упомянутые образцы вредоносного ПО, утилиты и командные строки были обнаружены в инфраструктурах госучреждений, телекоммуникационных и промышленных компаний на территории России.

Атрибуция

Исходя из проведенных исследований, мы не можем быть уверены, что за деятельностью обеих групп стоят одни и те же злоумышленники, однако предполагаем, что группировки BlackJack и Twelve являются частью единого кластера хактивистской активности, направленной на организации, расположенные в России.

Заключение

В рамках этого исследования мы продемонстрировали, что группировки BlackJack и Twelve атакуют схожие цели и используют схожее вредоносное ПО, для распространения и запуска которого применяют одни и те же методы. При этом они не заинтересованы в получении финансовой выгоды, а стремятся нанести максимальный ущерб целевым организациям путем шифрования, удаления и кражи данных и ресурсов.

Индикаторы компрометации

Вайпер — Shamoon

ED5815DDAD8188C198E0E52114173CB6                  wip.exe/wiper.exe
5F88A76F52B470DC8E72BBA56F7D7BB2             letsgo.exe

Шифровальщик — LockBit

DA30F54A3A14AD17957C88BF638D3436             bj.exe
BF402251745DF3F065EBE2FFDEC9A777              bj.exe

Пути к файлам

Sysvol\domain\scripts\wip.exe
\\[DOMAIN]\netlogon\wip.exe
C:\ProgramData\wip.exe
Sysvol\domain\scripts\bj.exe
\\[DOMAIN]\netlogon\bj.exe
C:\ProgramData\bj.exe
C:\ProgramData\letsgo.exe
\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\letsgo.exe
C:\ProgramData\enc.exe
\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\enc.exe
C:\Users\[USER]\Downloads\ngrok-v3-stable-windows-amd64.zip
C:\Program Files\Windows Media Player\ngrok.exe
C:\Users\[USER]\AppData\Local\ngrok\ngrok.yml

Имена запланированных задач

\copy
\run1
\go2
\im
\def