Karakurt

A Karakurt egy újonnan alapított kiberbűnözők csoportja, amelynek néhány hónap alatt több mint 40 áldozatot sikerült eltalálnia. Ellentétben a pénzügyileg motivált APT csoportok többségével, a Karakurt nem titkosítja áldozatainak adatait ransomware fenyegetéssel. Működése ehelyett az érzékeny adatok kiszűrésére irányul a feltört rendszerekből, majd a megszerzett információk nyilvánosságra hozatalával fenyegetőzve kizsarolja az áldozatokat.

A Karakurt másik jellegzetessége, hogy a hackerek eltértek a nagyvállalatok vagy a kritikus infrastrukturális szolgáltatások tipikus megközelítésétől. Ehelyett a hackerek gyorsabb megközelítést alkalmaznak, amikor kisebb vállalatokat vagy vállalati leányvállalatokat veszélyeztetnek. Ez lehetővé teszi, hogy Karakurt a következő áldozathoz költözhessen gyorsan. Eddig a kompromittált szervezetek többsége Észak-Amerikából származott, Európa a távoli második.

Adaptív fenyegetőzési taktika

A Karakurt hackerek új technikák átvételére is képesek gyorsan, és váltson a használt rosszindulatú programok között. Az Accenture Security infosec-kutatói szerint, akik figyelemmel kísérték a csoport tevékenységét, a Karakurt legális VPN hitelesítő adatokat használ kezdeti hozzáférési vektorként. Mindazonáltal még nem sikerült meghatározni, hogy a hackerek hogyan szerezték meg ezeket a hitelesítő adatokat.

A hálózatba kerülve a kiberbûnözõk kitartást érnek el, megpróbálnak oldalirányban mozogni, és kihasználják a megcélzott környezetben már meglévõ eszközöket vagy funkciókat, ezt a megközelítést „a földön élõ” néven ismerik. A kitartás érdekében a Karakurtot többféle módszerrel is megfigyelték. Kezdetben ezek közé tartozott a szolgáltatások létrehozása, a távfelügyeleti eszközök telepítése és a hátsó ajtók fenyegetéseinek terjesztése az áldozatok rendszerei között, mint például a Cobalt Strike jeladók. Azonban, Az újabb Karakurt-műveletek megszüntették a Cobalt Strike-ot, és ehelyett a VPN IP-pool és az AnyDesk, egy távoli asztali alkalmazás segítségével biztosítják a tartósságot a hálózaton keresztül. Ha a hackerek nem szereznek magasabb szintű jogosultságokat a birtokolt hitelesítő adatokon keresztül, akkor a Mimikatz telepítésével vagy a PowerShell használatával megpróbálják ezt megtenni.

Adatlopás

A támadás utolsó lépése az áldozat adatainak kiszűrése. A kiválasztott fájlokat először 7zip vagy WinZip segítségével tömörítik. Ezt követően a FileZilla Rclone-ját (SFTP) használják annak megállapítására, mielőtt az információ végül kiszivárogna a Mega.io felhőtárolóba. A kutatók szerint az adatok kiszűrésének szakaszos szakaszában két könyvtárat használtak: C:\Perflogs és C:\Recovery.

A csoport már 2021 júniusában, hónapokkal az első fenyegető műveletek előtt két adatszivárgási helyszínt hozott létre. Az infosec kutatói által azonosított két oldal a karakurt.group és a karakurt.tech. A hackercsoportnak van Twitter-fiókja is, amelyet augusztusban hoztak létre.