Kaspersky Labは9月20日(現地時間)、「Twelve: from initial compromise to ransomware and wipers|Securelist」において、ハクティビストグループ「Twelve」がロシア国内の組織を標的に破壊的なサイバー攻撃を実施していると報じた。直近の攻撃は2024年6月下旬に確認され、その調査結果から活動は継続中と推測されている。

  • Twelve: from initial compromise to ransomware and wipers|Securelist

    Twelve: from initial compromise to ransomware and wipers|Securelist

侵害経路

Kaspersky Labの調査によるとTwelveの初期アクセスは、標的企業のVPN(Virtual Private Network)またはSSH(Secure SHell)とされる。いずれかの不正アクセスに成功すると関連企業の環境から標的ネットワークのVPN証明書を窃取し、標的ネットワークに侵入する。次に、RDP(Remote Desktop Protocol:リモートデスクトッププロトコル)を介して標的システムに侵入する。

  • Twelveの侵害経路 - 引用:Securelist

    Twelveの侵害経路 引用:Securelist

Twelveは標的システムに侵入すると、さまざまな攻撃を実施する。具体的にはバックドアの設置、権限の昇格、認証情報の窃取、グループポリシーによるタスクスケジューラーの設定などを行う。最後のグループポリシーによるタスクスケジューラーの設定は、ドメインに参加しているコンピュータ全体にタスクを同時実行させる目的で使用される。タスクはランサムウェアおよびワイパーマルウェア(全データ消去)の実行とされ、最終的にドメイン参加コンピューターの全データが消去される。

影響と対策

攻撃者はランサムウェアを使用して多くのデータを窃取し、その後ワイパーマルウェアを起動して全データを消去する。Kaspersky Labの調査対象となった被害環境からは、財務文書、図面、電子メール、Telegramのキャッシュ情報などが窃取されている。

なお、ランサムウェアは身代金の要求ファイルに攻撃者のロゴのみを記録する。そのため、攻撃者と交渉することはできない。また、ワイパーマルウェアにはマスターブートレコードを破壊する処理が含まれており、処理に成功したコンピュータは起動できなくなる。

使用されたランサムウェアおよびワイパーマルウェアは公開または流出した既知のマルウェアとされる。そのため、これらマルウェアはセキュリティソリューションから検出可能とされる。