کاراکورت
کاراکورت یک گروه جرایم سایبری تازه تاسیس است که تنها در چند ماه توانسته بیش از 40 قربانی را هدف قرار دهد. برخلاف اکثر گروههای APT با انگیزه مالی، Karakurt دادههای قربانیان خود را از طریق تهدید باجافزار رمزگذاری نمیکند. در عوض، عملیات آن بر استخراج داده های حساس از سیستم های نقض شده و سپس اخاذی از قربانیان با تهدید به انتشار اطلاعات به دست آمده برای عموم متمرکز است.
یکی دیگر از ویژگیهای متمایز Karakurt این است که هکرها از رویکرد معمول هدف قرار دادن شرکتهای بزرگ یا خدمات زیرساختی حیاتی منحرف شدهاند. در عوض، هکرها رویکرد سریعتری را نشان میدهند که در آن شرکتهای کوچکتر یا شرکتهای تابعه را به خطر میاندازند. این به Karakurt اجازه می دهد تا به سمت قربانی بعدی حرکت کند به سرعت. تاکنون، اکثریت سازمانهای در معرض خطر از آمریکای شمالی بودهاند و اروپا در رتبه دوم قرار دارد.
تاکتیک های تهدید انطباقی
هکرهای Karakurt همچنین توانایی اتخاذ تکنیک های جدید را نشان داده اند به سرعت تهدیدات بدافزار مورد استفاده را تغییر دهید. به گفته محققان infosec در Accenture Security که بر فعالیتهای گروه نظارت میکنند، Karakurt از اعتبارنامههای قانونی VPN به عنوان یک بردار دسترسی اولیه استفاده میکند. با این حال، هنوز مشخص نشده است که چگونه هکرها این اعتبار را به دست می آورند.
مجرمان سایبری پس از ورود به شبکه، به پایداری دست می یابند، سعی می کنند به صورت جانبی حرکت کنند، و از ابزارها یا ویژگی هایی که از قبل در محیط مورد نظر وجود دارد، سوء استفاده می کنند، رویکردی که به عنوان "زندگی خارج از زمین" شناخته می شود. برای تداوم، کاراکورت با استفاده از چندین روش مختلف مشاهده شده است. در ابتدا، این موارد شامل ایجاد سرویس، استقرار ابزارهای مدیریت از راه دور و گسترش تهدیدات درب پشتی در سراسر سیستم های قربانی، مانند چراغ های Cobalt Strike بود. با این حال، عملیات اخیر Karakurt Cobalt Strike را حذف کرده و در عوض از طریق شبکه از طریق VPN IP pool و AnyDesk، یک برنامه دسکتاپ از راه دور، پایداری ایجاد کرده است. اگر هکرها نتوانند امتیازات بالاتری را از طریق اعتبارنامه در اختیار داشته باشند، با استقرار Mimikatz یا استفاده از PowerShell سعی خواهند کرد این کار را انجام دهند.
سرقت اطلاعات
آخرین مرحله در حمله، استخراج داده های قربانی است. فایل های انتخاب شده ابتدا از طریق 7zip یا WinZip فشرده می شوند. پس از آن، Rclone از FileZilla (SFTP) برای بیان قبل از اینکه اطلاعات در نهایت به فضای ذخیره سازی ابری Mega.io استخراج شود، استفاده می شود. به گفته محققان، دو دایرکتوری که در مرحله مرحلهبندی استخراج دادهها مورد استفاده قرار گرفتند، C:\Perflogs و C:\Recovery هستند.
این گروه در اوایل ژوئن 2021، ماهها قبل از اولین عملیات تهدیدآمیز، دو سایت نشت داده را راهاندازی کرده است. دو سایتی که توسط محققان infosec شناسایی شدهاند karakurt.group و karakurt.tech هستند. این گروه هکر یک حساب توییتر نیز دارد که در ماه آگوست ایجاد شده است.