ការ៉ាកេត

Karakurt គឺជាក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលទើបនឹងបង្កើតថ្មី ដែលក្នុងរយៈពេលតែប៉ុន្មានខែប៉ុណ្ណោះ បានវាយលុកជនរងគ្រោះជាង 40 នាក់។ មិនដូចក្រុម APT ដែលជំរុញផ្នែកហិរញ្ញវត្ថុភាគច្រើនទេ Karakurt មិនអ៊ិនគ្រីបទិន្នន័យរបស់ជនរងគ្រោះតាមរយៈការគំរាមកំហែង ransomware ទេ។ ផ្ទុយទៅវិញ ប្រតិបត្តិការរបស់ខ្លួនគឺផ្តោតលើការដកយកទិន្នន័យរសើបចេញពីប្រព័ន្ធដែលត្រូវបានរំលោភបំពាន ហើយបន្ទាប់មកជំរិតជនរងគ្រោះដោយការគំរាមកំហែងបញ្ចេញព័ត៌មានដែលទទួលបានជាសាធារណៈ។

លក្ខណៈប្លែកមួយទៀតរបស់ Karakurt គឺថាពួក Hacker បានងាកចេញពីវិធីសាស្រ្តធម្មតានៃការកំណត់គោលដៅសាជីវកម្មធំៗ ឬសេវាហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។ ផ្ទុយទៅវិញ ពួក Hacker កំពុងបង្ហាញវិធីសាស្រ្តកាន់តែលឿនដែលពួកគេសម្របសម្រួលក្រុមហ៊ុនតូចៗ ឬក្រុមហ៊ុនបុត្រសម្ព័ន្ធសាជីវកម្ម។ នេះអនុញ្ញាតឱ្យ Karakurt ផ្លាស់ទីទៅជនរងគ្រោះបន្ទាប់ យ៉ាងឆាប់រហ័ស។ រហូតមកដល់ពេលនេះ អង្គការសម្រុះសម្រួលភាគច្រើនមកពីអាមេរិកខាងជើង ដោយអឺរ៉ុបជាប្រទេសទីពីរឆ្ងាយ។

ឧបាយកលគម្រាមកំហែង

ពួក Hacker Karakurt ក៏បានបង្ហាញសមត្ថភាពក្នុងការទទួលយកបច្ចេកទេសថ្មីៗផងដែរ។ យ៉ាងឆាប់រហ័ស និងប្តូរការគំរាមកំហែងមេរោគដែលបានប្រើ។ យោងតាមអ្នកស្រាវជ្រាវ infosec នៅ Accenture Security ដែលបានតាមដានសកម្មភាពរបស់ក្រុម Karakurt ប្រើប្រាស់ព័ត៌មានសម្ងាត់ VPN ស្របច្បាប់ជាវ៉ិចទ័រចូលប្រើដំបូង។ ទោះបីជាយ៉ាងណាក៏ដោយ sp រហូតមកដល់ពេលនេះ វាមិនទាន់ត្រូវបានកំណត់ថាតើពួក Hacker ទទួលបានព័ត៌មានសម្ងាត់ទាំងនេះដោយរបៀបណានោះទេ។

នៅពេលដែលនៅក្នុងបណ្តាញ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតសម្រេចបាននូវភាពស្ថិតស្ថេរ ព្យាយាមផ្លាស់ទីនៅពេលក្រោយ និងទាញយកឧបករណ៍ ឬលក្ខណៈពិសេសដែលមានស្រាប់នៅលើបរិស្ថានគោលដៅ ដែលជាវិធីសាស្រ្តដែលគេស្គាល់ថា 'ការរស់នៅក្រៅដី'។ សម្រាប់ការតស៊ូ Karakurt ត្រូវបានគេសង្កេតឃើញដោយប្រើវិធីផ្សេងគ្នាជាច្រើន។ ដំបូងឡើយ សេវាកម្មទាំងនោះរួមមានការបង្កើតសេវាកម្ម ការដាក់ពង្រាយឧបករណ៍គ្រប់គ្រងពីចម្ងាយ និងការរីករាលដាលការគំរាមកំហែងខាងក្រោយនៅទូទាំងប្រព័ន្ធរបស់ជនរងគ្រោះ ដូចជា Cobalt Strike beacons ជាដើម។ ទោះយ៉ាងណាក៏ដោយ ប្រតិបត្តិការ Karakurt ថ្មីៗបន្ថែមទៀតបានទម្លាក់ Cobalt Strike ហើយជំនួសឱ្យការបង្កើតការតស៊ូតាមរយៈបណ្តាញតាមរយៈ VPN IP pool និង AnyDesk ដែលជាកម្មវិធីកុំព្យូទ័រពីចម្ងាយ។ ប្រសិនបើពួក Hacker បរាជ័យក្នុងការទទួលបានសិទ្ធិខ្ពស់តាមរយៈលិខិតសម្គាល់ដែលមានកម្មសិទ្ធិ ពួកគេនឹងព្យាយាមធ្វើដូច្នេះដោយដាក់ពង្រាយ Mimikatz ឬប្រើ PowerShell ។

ការលួចទិន្នន័យ

ជំហានចុងក្រោយក្នុងការវាយប្រហារគឺការដកទិន្នន័យរបស់ជនរងគ្រោះ។ ឯកសារដែលបានជ្រើសរើសត្រូវបានបង្ហាប់ដំបូងតាមរយៈ 7zip ឬ WinZip ។ ក្រោយមក Rclone នៃ FileZilla (SFTP) ត្រូវបានប្រើសម្រាប់ការបញ្ជាក់ មុនពេលដែលព័ត៌មានត្រូវបានបញ្ចូនទៅកន្លែងផ្ទុកពពក Mega.io ។ យោងតាមក្រុមអ្នកស្រាវជ្រាវ ថតពីរដែលត្រូវបានប្រើក្នុងដំណាក់កាលនៃដំណាក់កាលនៃការស្រង់ទិន្នន័យគឺ C:\Perflogs និង C:\Recovery ។

ក្រុមនេះបានបង្កើតគេហទំព័រលេចធ្លាយទិន្នន័យចំនួនពីរនៅដើមខែមិថុនាឆ្នាំ 2021 គឺច្រើនខែមុនពេលប្រតិបត្តិការគម្រាមកំហែងលើកដំបូងរបស់ពួកគេ។ គេហទំព័រពីរដែលកំណត់ដោយអ្នកស្រាវជ្រាវ infosec គឺ karakurt.group និង karakurt.tech ។ ក្រុម Hacker ក៏មានគណនី Twitter ដែលត្រូវបានបង្កើតឡើងនៅក្នុងខែសីហា។