Karakurtas
Karakurt yra naujai įkurta elektroninių nusikaltimų grupė, kuri vos per porą mėnesių sugebėjo nukentėti daugiau nei 40 aukų. Skirtingai nuo daugelio finansiškai motyvuotų APT grupių, „Karakurt“ nešifruoja savo aukų duomenų per išpirkos programinę įrangą. Vietoj to, jos veikla yra nukreipta į jautrių duomenų išfiltravimą iš pažeistų sistemų, o vėliau aukų prievartavimą grasindama paviešinti gautą informaciją.
Kitas išskirtinis „Karakurt“ bruožas yra tai, kad įsilaužėliai nukrypo nuo įprasto požiūrio į dideles korporacijas arba ypatingos svarbos infrastruktūros paslaugas. Vietoj to, įsilaužėliai demonstruoja greitesnį požiūrį, kai jie kompromituoja mažesnes įmones ar įmonių dukterines įmones. Tai leidžia Karakurtui pereiti prie kitos aukos greitai. Iki šiol dauguma sukompromituotų organizacijų buvo iš Šiaurės Amerikos, o Europa buvo tolima antroji vieta.
Adaptyvi grasinimo taktika
Karakurto įsilaužėliai taip pat parodė gebėjimą pritaikyti naujus metodus greitai ir pakeiskite naudojamas kenkėjiškų programų grėsmes. Anot „Accenture Security“ infosec tyrėjų, kurie stebėjo grupės veiklą, „Karakurt“ naudoja teisėtus VPN kredencialus kaip pradinį prieigos vektorių. Tačiau iki šiol nebuvo nustatyta, kaip įsilaužėliai gauna šiuos kredencialus.
Patekę į tinklą, kibernetiniai nusikaltėliai pasiekia atkaklumą, bando judėti į šoną ir išnaudoti įrankius ar funkcijas, jau esančias tikslinėje aplinkoje. Šis metodas žinomas kaip „gyvenimas iš žemės“. Dėl patvarumo Karakurtas buvo stebimas naudojant kelis skirtingus metodus. Iš pradžių tai buvo paslaugų kūrimas, nuotolinio valdymo įrankių diegimas ir užpakalinių grėsmių platinimas aukos sistemose, pvz., Cobalt Strike švyturiai. Tačiau naujesnėse „Karakurt“ operacijose buvo atsisakyta „Cobalt Strike“, o vietoje to užtikrinamas išlikimas tinkle per VPN IP telkinį ir „AnyDesk“, nuotolinio darbalaukio programą. Jei įsilaužėliams nepavyks įgyti padidintų privilegijų per turimus kredencialus, jie bandys tai padaryti įdiegę Mimikatz arba naudodami PowerShell.
Duomenų vagystė
Paskutinis išpuolio žingsnis – aukos duomenų išfiltravimas. Pasirinkti failai pirmiausia suglaudinami naudojant 7zip arba WinZip. Vėliau „Rclone of FileZilla“ (SFTP) naudojamas nurodyti, kol informacija galiausiai išfiltruojama į Mega.io debesies saugyklą. Pasak mokslininkų, du katalogai, kurie buvo naudojami duomenų išfiltravimo etape, yra C:\Perflogs ir C:\Recovery.
Grupė įsteigė dvi duomenų nutekėjimo svetaines dar 2021 m. birželio mėn., likus mėnesiams iki pirmųjų grėsmingų operacijų. Dvi svetainės, kurias nustatė infosec tyrėjai, yra karakurt.group ir karakurt.tech. Įsilaužėlių grupė taip pat turi „Twitter“ paskyrą, kuri buvo sukurta rugpjūtį.
