каракурт

Каракурт е новосъздадена група за киберпрестъпления, която само за няколко месеца успя да удари над 40 жертви. За разлика от повечето финансово мотивирани APT групи, Karakurt не криптира данните на своите жертви чрез заплаха за рансъмуер. Вместо това, операциите му са фокусирани върху ексфилтриране на чувствителни данни от взломените системи и след това изнудване на жертвите чрез заплаха да пусне получената информация на обществеността.

Друга отличителна характеристика на Karakurt е, че хакерите са се отклонили от типичния подход за насочване към големи корпорации или критични инфраструктурни услуги. Вместо това, хакерите проявяват по-бърз подход, когато компрометират по-малки компании или корпоративни дъщерни дружества. Това позволява на Каракурт да премине към следващата жертвабързо. Досега по-голямата част от компрометираните организации са от Северна Америка, като Европа е далечна втора.

Адаптивни заплашителни тактики

Каракуртските хакери също показаха способността да приемат нови техникибързо и превключвайте използваните злонамерени заплахи. Според изследователите на infosec от Accenture Security, които наблюдават дейностите на групата, Karakurt използва легитимни VPN идентификационни данни като начален вектор за достъп. Въпреки това, досега не е установено как хакерите получават тези идентификационни данни.

Веднъж влезли в мрежата, киберпрестъпниците постигат постоянство, опитват се да се движат странично и използват инструменти или функции, които вече съществуват в целевата среда, подход, известен като „живот извън земята". За постоянство каракурт е наблюдаван с помощта на множество различни методи. Първоначално те включват създаване на услуги, внедряване на инструменти за дистанционно управление и разпространение на заплахи от задната врата в системите на жертвата, като маяци Cobalt Strike. Въпреки това,по-скорошните операции на Karakurt отказаха Cobalt Strike и вместо това установиха постоянство през мрежата чрез VPN IP пул и AnyDesk, приложение за отдалечен работен плот. Ако хакерите не успеят да придобият повишени привилегии чрез притежаваните идентификационни данни, те ще се опитат да направят това, като разположат Mimikatz или използват PowerShell.

Кражба на данни

Последната стъпка в атаката е ексфилтрацията на данните на жертвата. Избраните файлове първо се компресират чрез 7zip или WinZip. След това Rclone на FileZilla (SFTP) се използва за деклариране, преди информацията в крайна сметка да бъде ексфилтрирана в облачното хранилище на Mega.io. Според изследователите две директории, които са били използвани в етапа на ексфилтрация на данни, са C:\Perflogs и C:\Recovery.

Групата е създала два сайта за изтичане на данни още през юни 2021 г., месеци преди първите им заплашителни операции. Двата сайта, идентифицирани от изследователите на infosec, са karakurt.group и karakurt.tech. Хакерската група има и акаунт в Twitter, създаден през август.