Karakurt

Karakurt je nově založená skupina zabývající se kyberzločinem, která za pouhých pár měsíců dokázala zasáhnout přes 40 obětí. Na rozdíl od většiny finančně motivovaných skupin APT Karakurt nešifruje data svých obětí prostřednictvím hrozby ransomwaru. Místo toho se její operace soustředí na exfiltraci citlivých dat z prolomených systémů a následné vydírání obětí vyhrožováním, že získané informace zveřejní.

Další výraznou vlastností Karakurtu je, že se hackeři odchýlili od typického přístupu zaměřeného na velké korporace nebo služby kritické infrastruktury. Místo toho hackeři projevují rychlejší přístup, když kompromitují menší společnosti nebo dceřiné společnosti. To umožňuje Karakurtovi přesunout se k další obětirychle. Doposud byla většina zkompromitovaných organizací ze Severní Ameriky a Evropa je až na druhém místě.

Adaptivní taktika vyhrožování

Hackeři Karakurt také prokázali schopnost osvojit si nové technikyrychle a přepínat používané hrozby malwaru. Podle výzkumníků infosec z Accenture Security, kteří monitorovali aktivity skupiny, Karakurt využívá legitimní přihlašovací údaje VPN jako počáteční vektor přístupu. Dosud však nebylo zjištěno, jak hackeři tyto přihlašovací údaje získají.

Jakmile se kyberzločinci dostanou do sítě, dosáhnou vytrvalosti, pokusí se pohybovat laterálně a využívají nástroje nebo funkce, které již v cílovém prostředí existují, což je přístup známý jako „život mimo zemi". Pro vytrvalost byl Karakurt pozorován pomocí několika různých metod. Zpočátku to zahrnovalo vytváření služeb, nasazení nástrojů pro vzdálenou správu a šíření hrozeb typu backdoor napříč systémy oběti, jako jsou majáky Cobalt Strike. Nicméně,novější operace Karakurt upustily od Cobalt Strike a místo toho nastolily stálost prostřednictvím sítě prostřednictvím VPN IP poolu a AnyDesk, aplikace pro vzdálenou plochu. Pokud se hackerům nepodaří získat zvýšená oprávnění prostřednictvím vlastněných přihlašovacích údajů, pokusí se o to nasazením Mimikatz nebo pomocí PowerShellu.

Krádež dat

Posledním krokem v útoku je exfiltrace dat oběti. Vybrané soubory jsou nejprve komprimovány buď pomocí 7zip nebo WinZip. Poté se Rclone of FileZilla (SFTP) používá k vyjádření před tím, než jsou informace nakonec exfiltrovány do cloudového úložiště Mega.io. Podle výzkumníků byly ve fázi exfiltrace dat použity dva adresáře C:\Perflogs a C:\Recovery.

Skupina zřídila dvě místa pro únik dat již v červnu 2021, měsíce před jejich prvními hrozivými operacemi. Tyto dvě stránky identifikované výzkumníky infosec jsou karakurt.group a karakurt.tech. Skupina hackerů má také účet na Twitteru, který byl vytvořen v srpnu.