कराकुर्त

Karakurt एक नयाँ स्थापना गरिएको साइबर अपराध समूह हो जसले केवल दुई महिनामा 40 भन्दा बढी पीडितहरूलाई हिट गर्न सफल भएको छ। आर्थिक रूपमा उत्प्रेरित APT समूहहरूको बहुमतको विपरीत, Karakurt ले ransomware खतरा मार्फत आफ्ना पीडितहरूको डेटा इन्क्रिप्ट गर्दैन। यसको सट्टा, यसको अपरेशनहरू उल्लङ्घन गरिएका प्रणालीहरूबाट संवेदनशील डेटा निकाल्ने र त्यसपछि प्राप्त जानकारी सार्वजनिक गर्ने धम्की दिएर पीडितहरूलाई जबरजस्ती लुट्नमा केन्द्रित छन्।

काराकुर्टको अर्को विशिष्ट विशेषता भनेको ह्याकरहरूले ठूला निगमहरू वा महत्वपूर्ण पूर्वाधार सेवाहरूलाई लक्षित गर्ने सामान्य दृष्टिकोणबाट विचलित भएका छन्। यसको सट्टा, ह्याकरहरूले छिटो दृष्टिकोण प्रदर्शन गरिरहेका छन् जहाँ उनीहरूले साना कम्पनीहरू वा कर्पोरेट सहायकहरूलाई सम्झौता गर्छन्। यसले काराकुर्टलाई अर्को शिकारमा जान अनुमति दिन्छ छिटो। अहिलेसम्म, अधिकांश सम्झौता गरिएका संस्थाहरू उत्तर अमेरिकाबाट आएका छन्, जसमा युरोप टाढाको दोस्रो स्थानमा छ।

अनुकूली धम्की रणनीति

काराकुर्ट ह्याकरहरूले नयाँ प्रविधिहरू अपनाउने क्षमता पनि देखाएका छन् छिटो र प्रयोग गरिएको मालवेयर धम्कीहरू स्विच गर्नुहोस्। समूहका गतिविधिहरूको निगरानी गरिरहेका Accenture सुरक्षाका इन्फोसेक अनुसन्धानकर्ताहरूका अनुसार, Karakurt ले प्रारम्भिक पहुँच भेक्टरको रूपमा वैध VPN प्रमाणहरू प्रयोग गर्दछ। तर, ह्याकरहरूले यी प्रमाणहरू कसरी प्राप्त गर्छन् भन्ने कुरा अहिलेसम्म स्पष्ट भइसकेको छैन।

सञ्जाल भित्र पसेपछि, साइबर अपराधीहरूले दृढता हासिल गर्छन्, पार्श्व सार्न प्रयास गर्छन्, र लक्षित वातावरणमा पहिले नै अवस्थित उपकरण वा सुविधाहरूको शोषण गर्छन्, जसलाई 'जमिनबाट बाँच्न' भनिन्छ। दृढताका लागि, काराकुर्ट धेरै फरक विधिहरू प्रयोग गरेर अवलोकन गरिएको छ। प्रारम्भमा, तीहरूमा सेवा निर्माण, रिमोट-व्यवस्थापन उपकरणहरू प्रयोग गर्ने र कोबाल्ट स्ट्राइक बीकनहरू जस्ता पीडितहरूको प्रणालीहरूमा ब्याकडोर खतराहरू फैलाउने समावेश थियो। तर, हालैका काराकुर्ट सञ्चालनहरूले कोबाल्ट स्ट्राइक छोडेको छ र यसको सट्टा VPN आईपी पूल र रिमोट डेस्कटप अनुप्रयोग AnyDesk मार्फत नेटवर्क मार्फत दृढता स्थापित गरेको छ। यदि ह्याकरहरूले पास भएका प्रमाणहरू मार्फत उन्नत विशेषाधिकारहरू प्राप्त गर्न असफल भएमा, तिनीहरूले Mimikatz प्रयोग गरेर वा PowerShell प्रयोग गरेर त्यसो गर्ने प्रयास गर्नेछन्।

डाटा चोरी

आक्रमणको अन्तिम चरण भनेको पीडितको तथ्यांक निकाल्नु हो। छानिएका फाइलहरू पहिले या त 7zip वा WinZip मार्फत संकुचित हुन्छन्। त्यसपछि, फाइलजिलाको Rclone (SFTP) जानकारी अन्ततः Mega.io क्लाउड भण्डारणमा बाहिर निकाल्नु अघि बताउन प्रयोग गरिन्छ। अन्वेषकहरूका अनुसार, डाटा एक्सफिल्ट्रेसनको स्टेजिङ चरणमा प्रयोग गरिएका दुई डाइरेक्टरीहरू C:\Perflogs र C:\Recovery हुन्।

समूहले आफ्नो पहिलो धम्कीपूर्ण अपरेशनको महिनौं अघि जुन 2021 मा दुईवटा डाटा-लिक साइटहरू स्थापना गरेको छ। इन्फोसेक अनुसन्धानकर्ताहरूले पहिचान गरेका दुई साइटहरू karakurt.group र karakurt.tech हुन्। ह्याकर समूहसँग अगस्टमा सिर्जना गरिएको ट्विटर खाता पनि छ।