Karakurt

Menjelang Mezo pada Advanced Persistent Threat (APT)

Terjemahkan ke

Karakurt ialah kumpulan jenayah siber yang baru ditubuhkan yang hanya dalam beberapa bulan telah berjaya melanda lebih 40 mangsa. Tidak seperti kebanyakan kumpulan APT yang bermotifkan kewangan, Karakurt tidak menyulitkan data mangsanya melalui ancaman perisian tebusan. Sebaliknya, operasinya tertumpu pada mengeluarkan data sensitif daripada sistem yang dilanggar dan kemudian memeras ugut mangsa dengan mengugut untuk melepaskan maklumat yang diperoleh kepada orang ramai.

Satu lagi ciri khas Karakurt ialah penggodam telah menyimpang daripada pendekatan biasa untuk menyasarkan syarikat besar atau perkhidmatan infrastruktur kritikal. Sebaliknya, penggodam mempamerkan pendekatan yang lebih pantas di mana mereka menjejaskan syarikat yang lebih kecil atau anak syarikat korporat. Ini membolehkan Karakurt berpindah ke mangsa seterusnya cepat. Setakat ini, majoriti organisasi yang terjejas adalah dari Amerika Utara, dengan Eropah menjadi tempat kedua yang jauh.

Taktik Mengancam Adaptif

Penggodam Karakurt juga telah menunjukkan keupayaan untuk menggunakan teknik baru dengan pantas dan tukar ancaman perisian hasad yang digunakan. Menurut penyelidik infosec di Accenture Security yang telah memantau aktiviti kumpulan itu, Karakurt menggunakan kelayakan VPN yang sah sebagai vektor akses awal. Bagaimanapun, sp setakat ini belum dapat ditentukan bagaimana penggodam memperoleh kelayakan ini.

Sebaik sahaja berada di dalam rangkaian, penjenayah siber mencapai kegigihan, cuba bergerak ke sisi, dan mengeksploitasi alat atau ciri yang sudah sedia ada pada persekitaran yang disasarkan, pendekatan yang dikenali sebagai 'hidup dari tanah.' Untuk kegigihan, Karakurt telah diperhatikan menggunakan pelbagai kaedah yang berbeza. Pada mulanya, ini termasuk penciptaan perkhidmatan, menggunakan alat pengurusan jauh dan menyebarkan ancaman pintu belakang ke seluruh sistem mangsa, seperti suar Cobalt Strike. Walau bagaimanapun, operasi Karakurt yang lebih terkini telah menjatuhkan Cobalt Strike dan sebaliknya mewujudkan kegigihan melalui rangkaian melalui kolam IP VPN dan AnyDesk, aplikasi desktop jauh. Jika penggodam gagal memperoleh keistimewaan yang tinggi melalui kelayakan yang dimiliki, mereka akan cuba melakukannya dengan menggunakan Mimikatz atau menggunakan PowerShell.

Kecurian Data

Langkah terakhir dalam serangan itu ialah penyingkiran data mangsa. Fail yang dipilih pertama kali dimampatkan melalui sama ada 7zip atau WinZip. Selepas itu, Rclone of FileZilla (SFTP) digunakan untuk menyatakan sebelum maklumat akhirnya dieksfiltrasi ke storan awan Mega.io. Menurut penyelidik, dua direktori yang digunakan dalam peringkat pementasan exfiltration data ialah C:\Perflogs dan C:\Recovery.

Kumpulan itu telah menyediakan dua tapak kebocoran data seawal Jun 2021, beberapa bulan sebelum operasi mengancam pertama mereka. Dua tapak yang dikenal pasti oleh penyelidik infosec ialah karakurt.group dan karakurt.tech. Kumpulan penggodam itu juga mempunyai akaun Twitter yang dibuat pada bulan Ogos.

Cari

Tukar Wilayah

Karakurt

Taktik Mengancam Adaptif

Kecurian Data

hantar komen

Trending

Safe Search Eng

MyWallPaper

Grounding Conductor Ransomware

Paling banyak dilihat

Adakah Lookmovie.io Selamat?

DNS Unlocker

Penipuan E-mel 'Geek Squad'