Karakurt

Karakurt je novoosnovana cyber kriminalna skupina koja je u samo nekoliko mjeseci uspjela pogoditi preko 40 žrtava. Za razliku od većine financijski motiviranih APT grupa, Karakurt ne šifrira podatke svojih žrtava putem ransomware prijetnje. Umjesto toga, njezino djelovanje usmjereno je na eksfiltraciju osjetljivih podataka iz provaljenih sustava, a zatim na iznuđivanje žrtava prijetnjom da će dobivene informacije objaviti javnosti.

Još jedna izrazita karakteristika Karakurta je da su hakeri odstupili od tipičnog pristupa ciljanja velikih korporacija ili kritičnih infrastrukturnih usluga. Umjesto toga, hakeri pokazuju brži pristup gdje kompromitiraju manje tvrtke ili korporativne podružnice. To omogućuje Karakurtu da pređe na sljedeću žrtvu brzo. Do sada je većina ugroženih organizacija bila iz Sjeverne Amerike, a Europa je bila daleka druga.

Prilagodljive prijeteće taktike

Karakurt hakeri su također pokazali sposobnost usvajanja novih tehnika brzo i mijenjati korištene prijetnje zlonamjernog softvera. Prema infosec istraživačima u Accenture Security koji su pratili aktivnosti grupe, Karakurt koristi legitimne VPN vjerodajnice kao početni pristupni vektor. Međutim, do sada nije utvrđeno kako hakeri dobivaju te vjerodajnice.

Jednom u mreži, cyber kriminalci postižu postojanost, pokušavaju se kretati bočno i iskorištavaju alate ili značajke koje već postoje u ciljanom okruženju, pristup poznat kao 'življenje od zemlje'. Zbog postojanosti, karakurt je promatran korištenjem više različitih metoda. U početku su to uključivali stvaranje usluga, implementaciju alata za daljinsko upravljanje i širenje backdoor prijetnji kroz sustave žrtve, kao što su Cobalt Strike beacons. Međutim, novije operacije Karakurt odbacile su Cobalt Strike i umjesto toga uspostavile postojanost kroz mrežu putem VPN IP bazena i AnyDeska, aplikacije za udaljenu radnu površinu. Ako hakeri ne uspiju steći povišene privilegije putem posjedovanih vjerodajnica, pokušat će to učiniti implementacijom Mimikatza ili korištenjem PowerShell-a.

Krađa podataka

Posljednji korak u napadu je eksfiltracija podataka žrtve. Odabrane datoteke prvo se komprimiraju putem 7zip ili WinZip. Nakon toga, Rclone of FileZilla (SFTP) se koristi za navođenje prije nego što se informacije u konačnici eksfiltriraju u Mega.io pohranu u oblaku. Prema istraživačima, dva direktorija koja su korištena u fazi faze eksfiltracije podataka su C:\Perflogs i C:\Recovery.

Grupa je postavila dva mjesta za curenje podataka već u lipnju 2021., mjesecima prije svojih prvih prijetećih operacija. Dvije stranice koje su identificirali istraživači infoseca su karakurt.group i karakurt.tech. Hakerska grupa također ima Twitter račun koji je kreiran u kolovozu.

U trendu

Nagledanije

Učitavam...