Karakurt

Karakurt je novozaložená skupina zaoberajúca sa počítačovou kriminalitou, ktorej sa za pár mesiacov podarilo zasiahnuť viac ako 40 obetí. Na rozdiel od väčšiny finančne motivovaných skupín APT, Karakurt nešifruje údaje svojich obetí prostredníctvom hrozby ransomvéru. Namiesto toho sa jej operácie zameriavajú na získavanie citlivých údajov z narušených systémov a následné vydieranie obetí hrozbami zverejnenia získaných informácií.

Ďalšou charakteristickou črtou Karakurtu je, že hackeri sa odchýlili od typického prístupu zameraného na veľké korporácie alebo služby kritickej infraštruktúry. Namiesto toho hackeri prejavujú rýchlejší prístup, keď kompromitujú menšie spoločnosti alebo dcérske spoločnosti. To umožňuje Karakurtovi prejsť k ďalšej obeti rýchlo. Doteraz bola väčšina ohrozených organizácií zo Severnej Ameriky, pričom Európa bola na druhom mieste.

Adaptívne taktiky vyhrážania

Hackeri Karakurt tiež preukázali schopnosť osvojiť si nové techniky rýchlo a prepínať medzi používanými hrozbami škodlivého softvéru. Podľa výskumníkov infosec v Accenture Security, ktorí monitorovali aktivity skupiny, Karakurt využíva legitímne prihlasovacie údaje VPN ako počiatočný vektor prístupu. Doteraz však nebolo určené, ako hackeri tieto poverenia získali.

Keď sa kyberzločinci dostanú do siete, dosahujú vytrvalosť, pokúšajú sa pohybovať laterálne a využívajú nástroje alebo funkcie, ktoré už existujú v cieľovom prostredí, čo je prístup známy ako „život z krajiny“. Pre vytrvalosť bol Karakurt pozorovaný pomocou viacerých rôznych metód. Spočiatku to zahŕňalo vytváranie služieb, nasadenie nástrojov na vzdialenú správu a šírenie hrozieb typu backdoor v systémoch obete, ako sú majáky Cobalt Strike. však novšie operácie Karakurt upustili od Cobalt Strike a namiesto toho nastolili stálosť cez sieť cez VPN IP pool a AnyDesk, aplikáciu pre vzdialenú plochu. Ak sa hackerom nepodarí získať zvýšené privilégiá prostredníctvom vlastnených poverení, pokúsia sa o to nasadením Mimikatz alebo pomocou PowerShell.

Krádež údajov

Posledným krokom v útoku je exfiltrácia údajov obete. Vybrané súbory sa najskôr skomprimujú pomocou 7zip alebo WinZip. Potom sa Rclone of FileZilla (SFTP) používa na vyjadrenie predtým, ako sú informácie nakoniec exfiltrované do cloudového úložiska Mega.io. Podľa výskumníkov boli dva adresáre, ktoré boli použité v štádiu exfiltrácie údajov, C:\Perflogs a C:\Recovery.

Skupina už v júni 2021, mesiace pred ich prvými hrozivými operáciami, zriadila dve miesta, kde dochádza k úniku údajov. Dve stránky identifikované výskumníkmi infosec sú karakurt.group a karakurt.tech. Skupina hackerov má tiež účet na Twitteri, ktorý bol vytvorený v auguste.

Trendy

Najviac videné

Načítava...