Каракурт

Каракурт - это недавно созданная группа киберпреступников, которой всего за пару месяцев удалось поразить более 40 жертв. В отличие от большинства финансово мотивированных APT-групп, Karakurt не шифрует данные своих жертв с помощью программ-вымогателей. Вместо этого его операции сосредоточены на извлечении конфиденциальных данных из взломанных систем и последующем вымогательстве у жертв, угрожая опубликовать полученную информацию.

Другой отличительной особенностью Karakurt является то, что хакеры отклонились от типичного подхода, нацеленного на большие корпорации или критически важные инфраструктурные сервисы. Вместо этого хакеры демонстрируют более быстрый подход, когда они компрометируют небольшие компании или корпоративные дочерние компании. Это позволяет Каракурту перейти к следующей жертве.быстро. Пока что большинство скомпрометированных организаций были из Северной Америки, на втором месте Европа.

Адаптивная тактика защиты от угроз

Хакеры Каракурта также продемонстрировали способность перенимать новые методы.быстро и переключать используемые вредоносные угрозы. По словам исследователей информационной безопасности из Accenture Security, которые отслеживали деятельность группы, Karakurt использует законные учетные данные VPN в качестве начального вектора доступа. Однако до сих пор не установлено, как хакеры получают эти учетные данные.

Попав внутрь сети, киберпреступники достигают настойчивости, пытаются двигаться горизонтально и использовать инструменты или функции, уже существующие в целевой среде, - подход, известный как «жизнь за пределами земли». Для настойчивости каракурт наблюдался с использованием нескольких различных методов. Первоначально они включали создание сервисов, развертывание инструментов удаленного управления и распространение бэкдорных угроз по системам жертвы, таких как маяки Cobalt Strike. Тем не мение,более поздние операции Karakurt отказались от Cobalt Strike и вместо этого установили постоянство через сеть через пул IP-адресов VPN и AnyDesk, приложение для удаленного рабочего стола. Если хакерам не удастся получить повышенные привилегии с помощью имеющихся учетных данных, они попытаются сделать это, развернув Mimikatz или используя PowerShell.

Кража данных

Последний шаг атаки - это кража данных жертвы. Выбранные файлы сначала сжимаются через 7zip или WinZip. После этого Rclone of FileZilla (SFTP) используется для констатации до того, как информация в конечном итоге будет отправлена в облачное хранилище Mega.io. По словам исследователей, на промежуточном этапе кражи данных использовались два каталога: C: \ Perflogs и C: \ Recovery.

Группа создала два сайта утечки данных еще в июне 2021 года, за несколько месяцев до их первых угрожающих операций. Исследователи информационной безопасности идентифицировали два сайта: karakurt.group и karakurt.tech. У хакерской группы также есть аккаунт в Твиттере, созданный в августе.