关于Twelve组织针对俄罗斯进行攻击活动的分析

　　Twelve是一个黑客组织，据分析，该组织可能是在2023年4月俄乌战争爆发后成立的。它利用大量公开工具对目标实施破坏性网络攻击，显示出其高度的技术能力和组织能力。

　　一、基本内容

　　Twelve组织主要针对俄罗斯的企业组织进行攻击。这些企业可能涉及多个行业，包括但不限于政府、军事、工业、能源和电信等关键领域。这些目标的选择可能与该组织的政治动机或经济利益有关。

　　Twelve组织的攻击活动对俄罗斯的企业组织造成了严重的安全威胁。加密数据和破坏基础设施的行为不仅导致数据丢失和业务中断，还可能对企业的声誉和经济利益造成长期影响。此外，这些攻击还可能引发连锁反应，导致更广泛的安全问题和信任危机。

　　二、分析研判

　　攻击手段：

　　Twelve组织通过滥用有效的本地或域账户获得初始访问权限，然后使用远程桌面协议(RDP)进行横向移动。此外，该组织还利用受害者的承包商实施攻击，通过获取承包商基础设施的访问权限，然后使用其证书连接到客户的VPN，从而进一步侵入客户的基础设施。

　　使用工具：

　　Twelve组织使用的工具包括但不限于Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner和PsExec等，这些工具被用于窃取凭证、发现网络漏洞、进行网络映射和权限升级。此外，该组织还部署了具有执行任意命令、移动文件或发送电子邮件功能的PHP web shell，如WSO web shell，这些程序在GitHub上随时可用。

　　三、应对策略

　　1、加强网络安全意识：提高员工对网络安全的重视程度，定期进行网络安全培训和演练。

　　2、强化访问控制：实施严格的访问控制策略，限制对敏感数据和系统的访问权限。

　　3、定期更新系统和软件：及时安装操作系统、应用软件和安全补丁，防止利用已知漏洞进行攻击。

　　4、部署安全防护设备：使用防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等安全设备，构建多层次的防御体系。