مجوزهای چند دستگاه (تخفیف حجمی)
Threat Database Advanced Persistent Threat (APT) کاراکورت

کاراکورت

تا Mezo در Advanced Persistent Threat (APT)
ترجمه به:
فارسی

کاراکورت یک گروه جرایم سایبری تازه تاسیس است که تنها در چند ماه توانسته بیش از 40 قربانی را هدف قرار دهد. برخلاف اکثر گروه‌های APT با انگیزه مالی، Karakurt داده‌های قربانیان خود را از طریق تهدید باج‌افزار رمزگذاری نمی‌کند. در عوض، عملیات آن بر استخراج داده های حساس از سیستم های نقض شده و سپس اخاذی از قربانیان با تهدید به انتشار اطلاعات به دست آمده برای عموم متمرکز است.

یکی دیگر از ویژگی‌های متمایز Karakurt این است که هکرها از رویکرد معمول هدف قرار دادن شرکت‌های بزرگ یا خدمات زیرساختی حیاتی منحرف شده‌اند. در عوض، هکرها رویکرد سریع‌تری را نشان می‌دهند که در آن شرکت‌های کوچکتر یا شرکت‌های تابعه را به خطر می‌اندازند. این به Karakurt اجازه می دهد تا به سمت قربانی بعدی حرکت کند به سرعت. تاکنون، اکثریت سازمان‌های در معرض خطر از آمریکای شمالی بوده‌اند و اروپا در رتبه دوم قرار دارد.

تاکتیک های تهدید انطباقی

هکرهای Karakurt همچنین توانایی اتخاذ تکنیک های جدید را نشان داده اند به سرعت تهدیدات بدافزار مورد استفاده را تغییر دهید. به گفته محققان infosec در Accenture Security که بر فعالیت‌های گروه نظارت می‌کنند، Karakurt از اعتبارنامه‌های قانونی VPN به عنوان یک بردار دسترسی اولیه استفاده می‌کند. با این حال، هنوز مشخص نشده است که چگونه هکرها این اعتبار را به دست می آورند.

مجرمان سایبری پس از ورود به شبکه، به پایداری دست می یابند، سعی می کنند به صورت جانبی حرکت کنند، و از ابزارها یا ویژگی هایی که از قبل در محیط مورد نظر وجود دارد، سوء استفاده می کنند، رویکردی که به عنوان "زندگی خارج از زمین" شناخته می شود. برای تداوم، کاراکورت با استفاده از چندین روش مختلف مشاهده شده است. در ابتدا، این موارد شامل ایجاد سرویس، استقرار ابزارهای مدیریت از راه دور و گسترش تهدیدات درب پشتی در سراسر سیستم های قربانی، مانند چراغ های Cobalt Strike بود. با این حال، عملیات اخیر Karakurt Cobalt Strike را حذف کرده و در عوض از طریق شبکه از طریق VPN IP pool و AnyDesk، یک برنامه دسکتاپ از راه دور، پایداری ایجاد کرده است. اگر هکرها نتوانند امتیازات بالاتری را از طریق اعتبارنامه در اختیار داشته باشند، با استقرار Mimikatz یا استفاده از PowerShell سعی خواهند کرد این کار را انجام دهند.

سرقت اطلاعات

آخرین مرحله در حمله، استخراج داده های قربانی است. فایل های انتخاب شده ابتدا از طریق 7zip یا WinZip فشرده می شوند. پس از آن، Rclone از FileZilla (SFTP) برای بیان قبل از اینکه اطلاعات در نهایت به فضای ذخیره سازی ابری Mega.io استخراج شود، استفاده می شود. به گفته محققان، دو دایرکتوری که در مرحله مرحله‌بندی استخراج داده‌ها مورد استفاده قرار گرفتند، C:\Perflogs و C:\Recovery هستند.

این گروه در اوایل ژوئن 2021، ماه‌ها قبل از اولین عملیات تهدیدآمیز، دو سایت نشت داده را راه‌اندازی کرده است. دو سایتی که توسط محققان infosec شناسایی شده‌اند karakurt.group و karakurt.tech هستند. این گروه هکر یک حساب توییتر نیز دارد که در ماه آگوست ایجاد شده است.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
15,356
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...