Karakurt

Karakurt to nowo powstała grupa cyberprzestępcza, której w ciągu zaledwie kilku miesięcy udało się trafić na ponad 40 ofiar. W przeciwieństwie do większości finansowo motywowanych grup APT, Karakurt nie szyfruje danych swoich ofiar za pomocą oprogramowania ransomware. Zamiast tego jego działania skupiają się na eksfiltracji wrażliwych danych z naruszonych systemów, a następnie wyłudzaniu ofiar grożąc udostępnieniem uzyskanych informacji opinii publicznej.

Inną charakterystyczną cechą Karakurt jest to, że hakerzy odeszli od typowego podejścia polegającego na atakowaniu dużych korporacji lub usług infrastruktury krytycznej. Zamiast tego hakerzy wykazują szybsze podejście, gdy narażają mniejsze firmy lub filie korporacji. Dzięki temu Karakurt może przejść do następnej ofiaryszybko. Jak dotąd większość skompromitowanych organizacji pochodziła z Ameryki Północnej, a Europa jest na odległym drugim miejscu.

Adaptacyjne taktyki zastraszania

Hakerzy z Karakurtu wykazali się również umiejętnością przyjmowania nowych technikszybko i przełączaj wykorzystywane złośliwe oprogramowanie. Według badaczy infosec z Accenture Security, którzy monitorują działalność grupy, Karakurt wykorzystuje legalne dane uwierzytelniające VPN jako początkowy wektor dostępu. Jednak do tej pory nie ustalono, w jaki sposób hakerzy uzyskują te dane uwierzytelniające.

Po wejściu do sieci cyberprzestępcy osiągają wytrwałość, próbują poruszać się na boki i wykorzystują narzędzia lub funkcje już istniejące w docelowym środowisku, co jest podejściem znanym jako „życie poza lądem". Dla wytrwałości, Karakurt zaobserwowano przy użyciu wielu różnych metod. Początkowo obejmowały one tworzenie usług, wdrażanie narzędzi do zdalnego zarządzania i rozprzestrzenianie zagrożeń typu backdoor w systemach ofiary, takich jak beacons Cobalt Strike. Jednakże,nowsze operacje Karakurt zrezygnowały z Cobalt Strike i zamiast tego ustanowiły trwałość w sieci za pośrednictwem puli VPN IP i AnyDesk, aplikacji zdalnego pulpitu. Jeśli hakerzy nie uzyskają podwyższonych uprawnień za pomocą posiadanych poświadczeń, spróbują to zrobić, wdrażając Mimikatz lub używając PowerShell.

Kradzież danych

Ostatnim krokiem ataku jest wydobycie danych ofiary. Wybrane pliki są najpierw kompresowane za pomocą 7zip lub WinZip. Następnie Rclone of FileZilla (SFTP) jest używany do stwierdzania, zanim informacje zostaną ostatecznie przeniesione do pamięci masowej w chmurze Mega.io. Według badaczy dwa katalogi, które zostały użyte na etapie etapowej eksfiltracji danych, to C:\Perflogs i C:\Recovery.

Już w czerwcu 2021 roku, na kilka miesięcy przed pierwszymi niebezpiecznymi operacjami, grupa utworzyła dwa miejsca, w których wyciekły dane. Dwie strony zidentyfikowane przez badaczy infosec to karakurt.group i karakurt.tech. Grupa hakerów ma również konto na Twitterze, które zostało utworzone w sierpniu.