كاراكورت

Karakurt هي مجموعة جرائم إلكترونية تأسست حديثًا تمكنت في غضون شهرين فقط من إصابة أكثر من 40 ضحية. على عكس غالبية مجموعات APT ذات الدوافع المالية ، لا يقوم Karakurt بتشفير بيانات ضحاياها عبر تهديد برامج الفدية. وبدلاً من ذلك ، تركز عملياتها على استخراج البيانات الحساسة من الأنظمة المخترقة ثم ابتزاز الضحايا من خلال التهديد بالإفراج عن المعلومات التي تم الحصول عليها للجمهور.

ميزة أخرى مميزة لكاراكورت هي أن المتسللين قد انحرفوا عن النهج المعتاد لاستهداف الشركات الكبرى أو خدمات البنية التحتية الحيوية. بدلاً من ذلك ، يُظهر المتسللون نهجًا أسرع حيث يعرضون الشركات الصغيرة أو الشركات التابعة للشركات للخطر. هذا يسمح لكاراكورت بالانتقال إلى الضحية التاليةبسرعة. حتى الآن ، كانت غالبية المنظمات المعرضة للخطر من أمريكا الشمالية ، وتأتي أوروبا في المرتبة الثانية.

تكتيكات التهديد التكيفية

أظهر قراصنة كاراكورت أيضًا القدرة على تبني تقنيات جديدةبسرعة وتبديل تهديدات البرامج الضارة المستخدمة. وفقًا للباحثين في مجال أمن المعلومات في شركة Accenture Security الذين كانوا يراقبون أنشطة المجموعة ، فإن Karakurt تستخدم بيانات اعتماد VPN شرعية كناقل وصول أولي. ومع ذلك ، sp حتى الآن لم يتم تحديد كيفية حصول المتسللين على أوراق الاعتماد هذه.

بمجرد دخولهم الشبكة ، يحقق مجرمو الإنترنت المثابرة ، ويحاولون التحرك بشكل أفقي ، ويستغلون الأدوات أو الميزات الموجودة بالفعل في البيئة المستهدفة ، وهو نهج يُعرف باسم "العيش خارج الأرض". من أجل الثبات ، لوحظ Karakurt باستخدام طرق مختلفة متعددة. في البداية ، كان من بينها إنشاء الخدمة ونشر أدوات الإدارة عن بعد ونشر التهديدات الخلفية عبر أنظمة الضحية ، مثل منارات Cobalt Strike. ومع ذلك،أسقطت عمليات كاراكورت الحديثة Cobalt Strike وبدلاً من ذلك أثبتت الثبات عبر الشبكة عبر تجمع VPN IP و AnyDesk ، تطبيق سطح المكتب البعيد. إذا فشل المتسللون في الحصول على امتيازات عالية من خلال بيانات الاعتماد التي يمتلكونها ، فسيحاولون القيام بذلك عن طريق نشر Mimikatz أو استخدام PowerShell.

سرقة البيانات

الخطوة الأخيرة في الهجوم هي استخراج بيانات الضحية. يتم ضغط الملفات المختارة أولاً من خلال 7zip أو WinZip. بعد ذلك ، يتم استخدام Rclone of FileZilla (SFTP) للتوضيح قبل نقل المعلومات في النهاية إلى التخزين السحابي Mega.io. وفقًا للباحثين ، تم استخدام دليلين في مرحلة التدريج لاستخراج البيانات هما C: \ Perflogs و C: \ Recovery.

أنشأت المجموعة موقعين لتسريب البيانات في وقت مبكر من يونيو 2021 ، قبل أشهر من عمليات التهديد الأولى. الموقعان اللذان حددهما باحثو إنفوسك هما karakurt.group و karakurt.tech. تمتلك مجموعة المتسللين أيضًا حسابًا على Twitter تم إنشاؤه في أغسطس.