Karakurt

Karakurt är en nyetablerad cyberbrottsgrupp som på bara ett par månader har lyckats träffa över 40 offer. Till skillnad från majoriteten av ekonomiskt motiverade APT-grupper, krypterar inte Karakurt data från sina offer via ett ransomware-hot. Istället är dess verksamhet inriktad på att exfiltrera känslig information från de kränkta systemen och sedan utpressa offren genom att hota att släppa den erhållna informationen till allmänheten.

En annan distinkt egenskap hos Karakurt är att hackarna har avvikit från det typiska tillvägagångssättet att rikta in sig på stora företag eller kritiska infrastrukturtjänster. Istället uppvisar hackarna ett snabbare tillvägagångssätt där de kompromissar med mindre företag eller företagsdotterbolag. Detta gör att Karakurt kan flytta till nästa offersnabbt. Hittills har majoriteten av de komprometterade organisationerna varit från Nordamerika, med Europa som en avlägsen tvåa.

Adaptiv hotfull taktik

Karakurt-hackarna har också visat förmågan att anta nya teknikersnabbt och byt ut de använda skadliga hoten. Enligt infosec-forskarna på Accenture Security som har övervakat gruppens aktiviteter, använder Karakurt legitima VPN-uppgifter som en initial åtkomstvektor. Det har dock inte fastställts hur hackarna skaffar sig dessa uppgifter.

Väl inne i nätverket uppnår cyberbrottslingarna uthållighet, försöker röra sig i sidled och utnyttjar verktyg eller funktioner som redan finns i den riktade miljön, ett tillvägagångssätt som kallas att "leva av landet." För envishet har Karakurt observerats med flera olika metoder. Inledningsvis inkluderade dessa att skapa tjänster, distribuera verktyg för fjärrhantering och spridning av bakdörrshot över offrets system, som Cobalt Strike-fyrar. Dock,nyare Karakurt-operationer har släppt Cobalt Strike och istället etablerar persistens via nätverket via VPN IP-pool och AnyDesk, en fjärrskrivbordsapplikation. Om hackarna misslyckas med att skaffa förhöjda privilegier genom de innehavda referenserna kommer de att försöka göra det genom att distribuera Mimikatz eller använda PowerShell.

Datastöld

Det sista steget i attacken är exfiltreringen av offrets data. De valda filerna komprimeras först genom antingen 7zip eller WinZip. Efteråt används Rclone of FileZilla (SFTP) för att ange innan informationen slutligen exfiltreras till Mega.io molnlagring. Enligt forskare är två kataloger som användes i iscensättningsstadiet av dataexfiltreringen C:\Perflogs och C:\Recovery.

Gruppen har satt upp två dataläckageplatser redan i juni 2021, månader innan deras första hotfulla operationer. De två platserna som identifierats av infosec-forskare är karakurt.group och karakurt.tech. Hackergruppen har även ett Twitterkonto som skapades i augusti.