רישיונות ריבוי מכשירים (הנחות נפח)
Threat Database Advanced Persistent Threat (APT) קראקורט

קראקורט

עד Mezo ב-Advanced Persistent Threat (APT)
לתרגם ל:
עברית

Karakurt היא קבוצת פשעי סייבר שהוקמה לאחרונה שתוך כמה חודשים בלבד הצליחה לפגוע ביותר מ-40 קורבנות. בניגוד לרוב קבוצות ה-APT עם מוטיבציה כלכלית, Karakurt לא מצפין את הנתונים של הקורבנות שלה באמצעות איום של תוכנת כופר. במקום זאת, פעולותיה מתמקדות בחילוץ נתונים רגישים מהמערכות שנפרצו ולאחר מכן בסחיטת הקורבנות באמצעות איום לשחרר את המידע שהושג לציבור.

מאפיין מובהק נוסף של Karakurt הוא שההאקרים חרגו מהגישה האופיינית של מיקוד לתאגידים גדולים או לשירותי תשתית קריטיים. במקום זאת, ההאקרים מציגים גישה מהירה יותר שבה הם מתפשרים על חברות קטנות יותר או חברות בנות ארגוניות. זה מאפשר לקראקורט לעבור לקורבן הבא בִּמְהִירוּת. עד כה, רוב הארגונים שנפגעו היו מצפון אמריקה, כאשר אירופה היא שנייה רחוקה.

טקטיקות איום אדפטיביות

ההאקרים של Karakurt גם הציגו את היכולת לאמץ טכניקות חדשות במהירות ולהחליף את איומי התוכנה הזדונית בשימוש. לפי חוקרי ה-infosec ב-Accenture Security שעוקבים אחר פעילות הקבוצה, Karakurt משתמש באישורי VPN לגיטימיים בתור וקטור גישה ראשוני. עם זאת, עד כה לא נקבע כיצד ההאקרים משיגים את האישורים הללו.

ברגע שהם נכנסים לרשת, פושעי הסייבר משיגים התמדה, מנסים לנוע לרוחב ומנצלים כלים או תכונות שכבר קיימים בסביבה הממוקדת, גישה המכונה 'לחיות מהאדמה'. לצורך התמדה, Karakurt נצפתה באמצעות מספר שיטות שונות. בתחילה, אלה כללו יצירת שירותים, פריסת כלי ניהול מרחוק והפצת איומים בדלת אחורית על פני המערכות של הקורבן, כגון משואות Cobalt Strike. למרות זאת, הפעולות האחרונות של Karakurt השפילו את Cobalt Strike ובמקום זאת מבססות התמדה דרך הרשת באמצעות מאגר IP VPN ו-AnyDesk, יישום שולחן עבודה מרוחק. אם ההאקרים לא מצליחים לרכוש הרשאות מוגברות באמצעות האישורים שברשותם, הם ינסו לעשות זאת על ידי פריסת Mimikatz או שימוש ב- PowerShell.

גניבת נתונים

השלב האחרון בתקיפה הוא חילוץ הנתונים של הקורבן. הקבצים הנבחרים נדחסים תחילה דרך 7zip או WinZip. לאחר מכן, נעשה שימוש ב-Rclone של FileZilla (SFTP) להצהרה לפני שהמידע יוחלף בסופו של דבר לאחסון הענן של Mega.io. על פי החוקרים, שתי ספריות ששימשו בשלב הבימוי של חילוץ הנתונים הן C:\Perflogs ו-C:\Recovery.

הקבוצה הקימה שני אתרי דליפת נתונים כבר ביוני 2021, חודשים לפני הפעילות המאיימת הראשונה שלהם. שני האתרים שזוהו על ידי חוקרי infosec הם karakurt.group ו-karakurt.tech. לקבוצת ההאקרים יש גם חשבון טוויטר שנוצר באוגוסט.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
15,356
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...