Каракурт

Каракурт је новооснована група за сајбер криминал која је за само неколико месеци успела да погоди преко 40 жртава. За разлику од већине финансијски мотивисаних АПТ група, Каракурт не шифрује податке својих жртава путем рансомваре претње. Уместо тога, његове операције су фокусиране на ексфилтрацију осетљивих података из система који су проваљени, а затим на изнуђивање жртава претњом да ће добијене информације објавити у јавности.

Још једна изразита карактеристика Каракурта је да су хакери одступили од типичног приступа циљања великих корпорација или критичних инфраструктурних услуга. Уместо тога, хакери показују бржи приступ где компромитују мање компаније или корпоративне подружнице. Ово омогућава Каракурту да пређе на следећу жртву брзо. До сада је већина компромитованих организација била из Северне Америке, док је Европа била далека друга.

Адаптиве Тхреатенинг Тацтицс

Каракурт хакери су такође показали способност да усвоје нове технике брзо и промените коришћене претње од малвера. Према истраживачима инфосец-а у Аццентуре Сецурити-у који су пратили активности групе, Каракурт користи легитимне ВПН акредитиве као почетни вектор приступа. Међутим, до сада није утврђено како хакери добијају ове акредитиве.

Једном у мрежи, сајбер-криминалци постижу упорност, покушавају да се крећу бочно и искоришћавају алате или карактеристике које већ постоје у циљаном окружењу, приступ познат као „живот од земље“. Због постојаности, каракурт је посматран коришћењем више различитих метода. У почетку су то укључивале креирање услуга, примену алата за даљинско управљање и ширење бацкдоор претњи кроз системе жртве, као што су Цобалт Стрике беацонс. Међутим, новије операције Каракурт-а су одбациле Цобалт Стрике и уместо тога успоставиле постојаност кроз мрежу преко ВПН ИП базена и АниДеск-а, апликације за удаљену радну површину. Ако хакери не успеју да стекну повишене привилегије преко поседованих акредитива, покушаће да то учине тако што ће применити Мимикатз или користећи ПоверСхелл.

Крађа података

Последњи корак у нападу је ексфилтрација података жртве. Изабране датотеке се прво компримују путем 7зип или ВинЗип. Након тога, Рцлоне оф ФилеЗилла (СФТП) се користи за навођење пре него што се информације на крају ексфилтрирају у Мега.ио складиште у облаку. Према истраживачима, два директорија која су коришћена у фази фазе ексфилтрације података су Ц:\Перфлогс и Ц:\Рецовери.

Група је поставила две локације за цурење података још у јуну 2021. године, месецима пре својих првих претећих операција. Две локације које су идентификовали истраживачи инфосец-а су каракурт.гроуп и каракурт.тецх. Хакерска група такође има Твитер налог који је креиран у августу.