কারাকুর্ট

Karakurt হল একটি নতুন প্রতিষ্ঠিত সাইবার ক্রাইম গ্রুপ যেটি মাত্র কয়েক মাসে 40 জনের বেশি ভিকটিমকে আঘাত করতে সক্ষম হয়েছে। আর্থিকভাবে অনুপ্রাণিত APT গোষ্ঠীর সংখ্যাগরিষ্ঠের বিপরীতে, Karakurt তার শিকারদের ডেটা র্যানসমওয়্যারের হুমকির মাধ্যমে এনক্রিপ্ট করে না। পরিবর্তে, এর ক্রিয়াকলাপগুলি লঙ্ঘন করা সিস্টেমগুলি থেকে সংবেদনশীল ডেটা বের করে নেওয়ার উপর দৃষ্টি নিবদ্ধ করে এবং তারপরে প্রাপ্ত তথ্য জনসাধারণের কাছে প্রকাশ করার হুমকি দিয়ে ক্ষতিগ্রস্থদের চাঁদাবাজি করে।

কারাকুর্টের আরেকটি স্বতন্ত্র বৈশিষ্ট্য হল যে হ্যাকাররা বড় কর্পোরেশন বা সমালোচনামূলক অবকাঠামো পরিষেবাগুলিকে লক্ষ্য করার সাধারণ পদ্ধতি থেকে বিচ্যুত হয়েছে। পরিবর্তে, হ্যাকাররা একটি দ্রুত পন্থা প্রদর্শন করছে যেখানে তারা ছোট কোম্পানি বা কর্পোরেট সাবসিডিয়ারিদের সাথে আপস করে। এটি কারাকুর্টকে পরবর্তী শিকারে যেতে দেয় দ্রুত এখনও অবধি, আপোষকৃত সংস্থাগুলির বেশিরভাগ উত্তর আমেরিকা থেকে এসেছে, যেখানে ইউরোপ একটি দূরবর্তী দ্বিতীয়।

অভিযোজিত হুমকি কৌশল

কারাকুর্ট হ্যাকাররাও নতুন কৌশল অবলম্বন করার ক্ষমতা প্রদর্শন করেছে দ্রুত এবং ব্যবহৃত ম্যালওয়্যার হুমকি স্যুইচ. Accenture সিকিউরিটির ইনফোসেক গবেষকদের মতে যারা গ্রুপের কার্যক্রম পর্যবেক্ষণ করছেন, কারাকুর্ট একটি প্রাথমিক অ্যাক্সেস ভেক্টর হিসেবে বৈধ VPN শংসাপত্র নিয়োগ করে। তবে, হ্যাকাররা কীভাবে এই শংসাপত্রগুলি পায় তা এখনও পর্যন্ত নির্ধারণ করা যায়নি।

একবার নেটওয়ার্কের ভিতরে, সাইবার অপরাধীরা দৃঢ়তা অর্জন করে, পাশের দিকে সরে যাওয়ার চেষ্টা করে এবং লক্ষ্যযুক্ত পরিবেশে ইতিমধ্যে বিদ্যমান সরঞ্জাম বা বৈশিষ্ট্যগুলিকে কাজে লাগায়, এটি 'ভূমির বাইরে বসবাস' নামে পরিচিত একটি পদ্ধতি। অধ্যবসায়ের জন্য, কারাকুর্ট একাধিক ভিন্ন পদ্ধতি ব্যবহার করে পর্যবেক্ষণ করা হয়েছে। প্রাথমিকভাবে, এর মধ্যে রয়েছে পরিষেবা তৈরি করা, দূরবর্তী-ব্যবস্থাপনার সরঞ্জাম স্থাপন করা এবং কোবাল্ট স্ট্রাইক বীকনের মতো ভিকটিম সিস্টেম জুড়ে ব্যাকডোর হুমকি ছড়িয়ে দেওয়া। যাহোক, সাম্প্রতিক কারাকুর্ট অপারেশনগুলি কোবাল্ট স্ট্রাইককে বাদ দিয়েছে এবং এর পরিবর্তে ভিপিএন আইপি পুল এবং দূরবর্তী ডেস্কটপ অ্যাপ্লিকেশন অ্যানিডেস্কের মাধ্যমে নেটওয়ার্কের মাধ্যমে অধ্যবসায় প্রতিষ্ঠা করেছে। হ্যাকাররা যদি দখলকৃত শংসাপত্রের মাধ্যমে উন্নত সুযোগ-সুবিধা অর্জন করতে ব্যর্থ হয়, তাহলে তারা Mimikatz স্থাপন করে বা PowerShell ব্যবহার করে তা করার চেষ্টা করবে।

ডেটা চুরি

হামলার চূড়ান্ত ধাপ হল ভিকটিমদের তথ্য বের করা। নির্বাচিত ফাইলগুলি প্রথমে 7zip বা WinZip এর মাধ্যমে সংকুচিত হয়। পরবর্তীতে, ফাইলজিলা (SFTP) এর Rclone ব্যবহার করা হয় তথ্য শেষ পর্যন্ত Mega.io ক্লাউড স্টোরেজে পাঠানোর আগে বিবৃতি দেওয়ার জন্য। গবেষকদের মতে, ডেটা এক্সফিল্ট্রেশনের স্টেজিং পর্যায়ে ব্যবহৃত দুটি ডিরেক্টরি হল C:\Perflogs এবং C:\Recovery।

গ্রুপটি তাদের প্রথম হুমকিমূলক অপারেশনের কয়েক মাস আগে জুন 2021 এর প্রথম দিকে দুটি ডেটা-লিক সাইট স্থাপন করেছে। ইনফোসেক গবেষকদের দ্বারা চিহ্নিত দুটি সাইট হল karakurt.group এবং karakurt.tech। হ্যাকার গ্রুপের একটি টুইটার অ্যাকাউন্টও রয়েছে যা আগস্টে তৈরি করা হয়েছিল।