คาราคุต
Karakurt เป็นกลุ่มอาชญากรไซเบอร์ที่จัดตั้งขึ้นใหม่ ซึ่งในเวลาเพียงไม่กี่เดือนก็สามารถจัดการกับเหยื่อได้กว่า 40 ราย ไม่เหมือนกับกลุ่ม APT ที่มีแรงจูงใจทางการเงินส่วนใหญ่ Karakurt ไม่ได้เข้ารหัสข้อมูลของเหยื่อผ่านภัยคุกคามจากแรนซัมแวร์ ในทางกลับกัน การดำเนินงานมุ่งเน้นไปที่การกรองข้อมูลที่ละเอียดอ่อนออกจากระบบที่ถูกละเมิด จากนั้นจึงขู่กรรโชกเหยื่อโดยขู่ว่าจะเปิดเผยข้อมูลที่ได้รับต่อสาธารณะ
ลักษณะเด่นอีกประการหนึ่งของ Karakurt ก็คือ แฮกเกอร์ได้เบี่ยงเบนไปจากแนวทางทั่วไปในการกำหนดเป้าหมายองค์กรขนาดใหญ่หรือบริการโครงสร้างพื้นฐานที่สำคัญ ในทางกลับกัน แฮ็กเกอร์กำลังแสดงวิธีการที่รวดเร็วกว่าในการประนีประนอมกับบริษัทขนาดเล็กหรือบริษัทในเครือ ทำให้คาราคุตสามารถเคลื่อนย้ายไปหาเหยื่อรายต่อไปได้ อย่างรวดเร็ว. จนถึงตอนนี้ องค์กรที่ถูกบุกรุกส่วนใหญ่มาจากอเมริกาเหนือ โดยที่ยุโรปเป็นองค์กรรอง
กลยุทธ์การคุกคามแบบปรับตัว
แฮกเกอร์ Karakurt ยังแสดงความสามารถในการนำเทคนิคใหม่มาใช้ อย่างรวดเร็วและเปลี่ยนภัยคุกคามมัลแวร์ที่ใช้ ตามที่นักวิจัยของ infosec ที่ Accenture Security ซึ่งได้เฝ้าติดตามกิจกรรมของกลุ่ม Karakurt ใช้ข้อมูลประจำตัว VPN ที่ถูกต้องตามกฎหมายเป็นเวกเตอร์การเข้าถึงเริ่มต้น อย่างไรก็ตาม ยังไม่เป็นที่ทราบแน่ชัดว่าแฮกเกอร์ได้รับข้อมูลรับรองเหล่านี้อย่างไร
เมื่อเข้าไปในเครือข่าย อาชญากรไซเบอร์จะยืนกราน พยายามเคลื่อนตัวไปด้านข้าง และใช้ประโยชน์จากเครื่องมือหรือคุณลักษณะที่มีอยู่แล้วในสภาพแวดล้อมที่เป็นเป้าหมาย ซึ่งเป็นแนวทางที่เรียกว่า 'การใช้ชีวิตนอกแผ่นดิน' เพื่อความคงอยู่ Karakurt ได้รับการสังเกตโดยใช้หลายวิธี ในขั้นต้น สิ่งเหล่านั้นรวมถึงการสร้างบริการ การปรับใช้เครื่องมือการจัดการระยะไกล และการแพร่กระจายภัยคุกคามลับๆ ทั่วทั้งระบบของเหยื่อ เช่น โคบอลต์สไตรค์บีคอน อย่างไรก็ตาม, การดำเนินการล่าสุดของ Karakurt ได้ลดลง Cobalt Strike และแทนที่จะสร้างความคงอยู่ผ่านเครือข่ายผ่าน VPN IP pool และ AnyDesk ซึ่งเป็นแอปพลิเคชันเดสก์ท็อประยะไกล หากแฮกเกอร์ไม่สามารถรับสิทธิ์ยกระดับผ่านข้อมูลประจำตัวที่ครอบครอง พวกเขาจะพยายามทำเช่นนั้นโดยปรับใช้ Mimikatz หรือใช้ PowerShell
ขโมยข้อมูล
ขั้นตอนสุดท้ายในการโจมตีคือการขโมยข้อมูลของเหยื่อ ไฟล์ที่เลือกจะถูกบีบอัดผ่าน 7zip หรือ WinZip ก่อน หลังจากนั้น จะใช้ Rclone ของ FileZilla (SFTP) เพื่อระบุก่อนที่ข้อมูลจะถูกกรองไปยังที่จัดเก็บข้อมูลระบบคลาวด์ Mega.io ในท้ายที่สุด ตามที่นักวิจัย สองไดเร็กทอรีที่ใช้ในขั้นตอนการจัดเตรียมของการกรองข้อมูลคือ C:\Perflogs และ C:\Recovery
กลุ่มได้จัดตั้งไซต์ข้อมูลรั่วไหลสองแห่งโดยเร็วที่สุดเท่าเดือนมิถุนายน พ.ศ. 2564 หลายเดือนก่อนการดำเนินการคุกคามครั้งแรก สองไซต์ที่ระบุโดยนักวิจัยของ infosec คือ karakurt.group และ karakurt.tech กลุ่มแฮ็กเกอร์ยังมีบัญชี Twitter ที่สร้างขึ้นในเดือนสิงหาคม
