카라쿠르트

Karakurt는 새로 설립된 사이버 범죄 그룹으로 불과 몇 달 만에 40명이 넘는 피해자를 공격했습니다. 금전적인 동기를 가진 대부분의 APT 그룹과 달리 Karakurt는 랜섬웨어 위협을 통해 피해자의 데이터를 암호화하지 않습니다. 대신, 그 작전은 침해된 시스템에서 민감한 데이터를 빼낸 다음 획득한 정보를 대중에게 공개하겠다고 위협하여 피해자를 갈취하는 데 중점을 둡니다.

Karakurt의 또 다른 뚜렷한 특징은 해커가 대기업이나 주요 인프라 서비스를 표적으로 삼는 일반적인 접근 방식에서 벗어났다는 것입니다. 대신 해커는 소규모 회사나 기업 자회사를 손상시키는 더 빠른 접근 방식을 보여주고 있습니다. 이를 통해 Karakurt는 다음 희생자로 이동할 수 있습니다.빠르게. 지금까지 침해된 조직의 대부분은 북미 지역이었고 유럽은 그 뒤를 이었습니다.

적응형 위협 전술

Karakurt 해커는 또한 새로운 기술을 채택하는 능력을 보여주었습니다.사용된 악성코드 위협을 신속하게 전환합니다. 그룹의 활동을 모니터링해온 Accenture Security의 infosec 연구원에 따르면 Karakurt는 합법적인 VPN 자격 증명을 초기 액세스 벡터로 사용합니다. 그러나 지금까지 해커가 이러한 자격 증명을 얻는 방법이 결정되지 않았습니다.

일단 네트워크 내부에 들어오면 사이버 범죄자는 끈기를 갖고 옆으로 이동하려고 하며 대상 환경에 이미 존재하는 도구나 기능을 악용합니다. 이러한 접근 방식은 '육지 생활'로 알려져 있습니다. 지속성을 위해 Karakurt는 여러 가지 다른 방법을 사용하여 관찰되었습니다. 초기에는 서비스 생성, 원격 관리 도구 배포, Cobalt Strike 비콘과 같은 피해자 시스템 전반에 걸친 백도어 위협 확산이 포함되었습니다. 하지만,보다 최근의 Karakurt 작업은 Cobalt Strike를 중단하고 VPN IP 풀과 원격 데스크톱 애플리케이션인 AnyDesk를 통해 네트워크를 통해 지속성을 설정합니다. 해커가 보유한 자격 증명을 통해 상승된 권한을 획득하지 못하면 Mimikatz 를 배포하거나 PowerShell을 사용하여 이를 시도합니다.

데이터 도난

공격의 마지막 단계는 피해자 데이터의 유출입니다. 선택한 파일은 먼저 7zip 또는 WinZip을 통해 압축됩니다. 이후 파일질라의 Rclone(SFTP)은 정보가 최종적으로 Mega.io 클라우드 저장소로 유출되기 전에 진술하는 데 사용됩니다. 연구원에 따르면 데이터 유출의 스테이징 단계에서 사용된 두 개의 디렉토리는 C:\Perflogs 및 C:\Recovery입니다.

이 그룹은 첫 번째 위협적인 작업이 시작되기 몇 달 전인 2021년 6월에 2개의 데이터 유출 사이트를 설정했습니다. infosec 연구원이 확인한 두 사이트는 karakurt.group과 karakurt.tech입니다. 해커 그룹에는 8월에 만든 트위터 계정도 있습니다.