关于Twelve黑客大肆攻击俄罗斯实体

　　一个名为 “Twelve ”的黑客组织使用大量公开工具对俄罗斯目标实施破坏性网络攻击，与要求赎金解密数据不同，该组织更倾向于加密受害者的数据，然后使用擦除器破坏他们的基础设施，以防止恢复。

　　一、基本内容

　　Twelve黑客组织是在2023年4月俄乌战争爆发后成立的，曾发起过多次网络攻击事件、窃取敏感信息，然后通过其Telegram频道分享这些信息。

　　Twelve 使用的其他工具包括 Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner 和 PsExec，用于窃取凭证、发现、网络映射和权限升级。与系统的恶意 RDP 连接通过 ngrok 传输。此外还部署了具有执行任意命令、移动文件或发送电子邮件功能的 PHP web shell。这些程序(如 WSO web shell)在 GitHub 上随时可用。研究人员指出：该组织坚持使用公开的、人们熟悉的恶意软件工具，这也表明它没有自制的工具，那么大家就还是有机会能及时发现并阻止 Twelve 的攻击。

　　二、分析研判

　　该事件揭示了名为“Twelve”的黑客组织利用公开工具对俄罗斯目标实施了一系列复杂的网络攻击，其特点在于不仅加密受害者数据，还使用擦除器彻底破坏基础设施以防止恢复，显示出该组织旨在造成最大程度损害而非直接经济利益。同时，利用多种高级工具和技术进行网络渗透、以及伪装恶意软件和任务以逃避检测的手法，凸显了现代网络威胁的高度复杂性和多样性，对网络安全防护提出了严峻挑战。

　　三、应对策略

　　针对“Twelve”黑客组织的网络攻击，以下是一些应对策略：

　　1、加强安全防护：企业应强化网络安全防护，包括升级防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)，以防范恶意软件的入侵和攻击。同时，应定期更新系统和软件补丁，以减少安全漏洞。

　　2、限制远程访问：严格控制远程桌面协议(RDP)等远程访问工具的使用，避免未经授权的访问。如果必须使用，应确保使用强密码、加密连接和定期监控。

　　3、定期安全审计：定期进行安全审计和漏洞扫描，及时发现并修复潜在的安全问题。同时，应关注与黑客组织相关的最新威胁情报，以便及时应对。

　　4、备份和恢复计划：制定完善的备份和恢复计划，确保在数据被加密或破坏时能够迅速恢复。同时，应测试备份数据的完整性和可用性。

　　5、使用专业的安全工具：部署专业的安全工具，如终端安全管理、日志分析和威胁情报平台等，以提高对网络攻击的发现和响应能力。