Karakurts

Karakurts ir jaunizveidots kibernoziegumu grupējums, kas pāris mēnešu laikā spējis notvert vairāk nekā 40 upurus. Atšķirībā no vairuma finansiāli motivētu APT grupu, Karakurt nešifrē savu upuru datus, izmantojot izspiedējvīrusa draudus. Tā vietā tās darbība ir vērsta uz sensitīvu datu izfiltrēšanu no uzlauztajām sistēmām un pēc tam upuru izspiešanu, draudot iegūto informāciju publiskot.

Vēl viena atšķirīga Karakurt iezīme ir tā, ka hakeri ir novirzījušies no tipiskās pieejas, kas vērstas uz lielām korporācijām vai kritiskās infrastruktūras pakalpojumiem. Tā vietā hakeri demonstrē ātrāku pieeju, ja viņi apdraud mazākus uzņēmumus vai korporatīvos meitasuzņēmumus. Tas ļauj Karakurtam pāriet pie nākamā upura ātri. Līdz šim lielākā daļa kompromitēto organizāciju ir bijušas no Ziemeļamerikas, un Eiropa ir tālu otrajā vietā.

Adaptīvā draudu taktika

Karakurta hakeri ir arī parādījuši spēju pieņemt jaunas metodes ātri un pārslēgt izmantotos ļaunprātīgas programmatūras draudus. Saskaņā ar Accenture Security infosec pētniekiem, kuri ir uzraudzījuši grupas darbības, Karakurt izmanto likumīgus VPN akreditācijas datus kā sākotnējo piekļuves vektoru. Tomēr līdz šim nav noskaidrots, kā hakeri iegūst šos akreditācijas datus.

Nokļūstot tīklā, kibernoziedznieki panāk neatlaidību, mēģina pārvietoties uz sāniem un izmantot rīkus vai funkcijas, kas jau pastāv mērķa vidē. Šo pieeju sauc par "dzīvošanu ārpus zemes". Noturības labad Karakurts ir novērots, izmantojot vairākas dažādas metodes. Sākotnēji tie ietvēra pakalpojumu izveidi, attālās pārvaldības rīku izvietošanu un aizmugures durvju draudu izplatīšanu upura sistēmās, piemēram, Cobalt Strike bākas. tomēr Jaunākās Karakurt darbības ir atteikušās no Cobalt Strike un tā vietā nodrošina noturību tīklā, izmantojot VPN IP kopu un AnyDesk, attālās darbvirsmas lietojumprogrammu. Ja hakeriem neizdodas iegūt paaugstinātas privilēģijas, izmantojot viņam piederošos akreditācijas datus, viņi mēģinās to izdarīt, izvietojot Mimikatz vai izmantojot PowerShell.

Datu zādzība

Pēdējais solis uzbrukumā ir upura datu izfiltrēšana. Izvēlētie faili vispirms tiek saspiesti, izmantojot 7zip vai WinZip. Pēc tam FileZilla Rclone (SFTP) tiek izmantots, lai norādītu, pirms informācija tiek galu galā izfiltrēta Mega.io mākoņa krātuvē. Pēc pētnieku domām, divi direktoriji, kas tika izmantoti datu eksfiltrācijas stadijā, ir C:\Perflogs un C:\Recovery.

Grupa ir izveidojusi divas datu noplūdes vietnes jau 2021. gada jūnijā, mēnešus pirms to pirmajām draudošajām operācijām. Infosec pētnieku identificētās divas vietnes ir karakurt.group un karakurt.tech. Hakeru grupai ir arī Twitter konts, kas tika izveidots augustā.