Karakurt

Karakurt, sadece birkaç ay içinde 40'tan fazla kurbana ulaşmayı başaran yeni kurulmuş bir siber suç grubudur. Finansal olarak motive olan APT gruplarının çoğunun aksine, Karakurt kurbanlarının verilerini bir fidye yazılımı tehdidi yoluyla şifrelemez. Bunun yerine, operasyonları, ihlal edilen sistemlerden hassas verileri sızdırmaya ve ardından elde edilen bilgileri halka açıklamakla tehdit ederek mağdurları gasp etmeye odaklanıyor.

Karakurt'un bir diğer belirgin özelliği, bilgisayar korsanlarının büyük şirketleri veya kritik altyapı hizmetlerini hedef alan tipik yaklaşımdan sapmış olmalarıdır. Bunun yerine, bilgisayar korsanları daha küçük şirketleri veya kurumsal yan kuruluşları tehlikeye attıklarında daha hızlı bir yaklaşım sergiliyorlar. Bu, Karakurt'un bir sonraki kurbana geçmesini sağlarhızlı bir şekilde. Şimdiye kadar, güvenliği ihlal edilen kuruluşların çoğu Kuzey Amerika'dan geldi ve Avrupa ikinci sırada yer aldı.

Uyarlanabilir Tehdit Taktikleri

Karakurt bilgisayar korsanları ayrıca yeni teknikleri benimseme yeteneğini de sergilediler.hızla ve kullanılan kötü amaçlı yazılım tehditlerini değiştirin. Accenture Security'deki grubun faaliyetlerini izleyen bilgi güvenliği araştırmacılarına göre, Karakurt ilk erişim vektörü olarak meşru VPN kimlik bilgilerini kullanıyor. Ancak şimdiye kadar bilgisayar korsanlarının bu kimlik bilgilerini nasıl elde ettiği belirlenemedi.

Ağa girdikten sonra, siber suçlular kalıcılık elde eder, yanal olarak hareket etmeye çalışır ve hedeflenen ortamda zaten mevcut olan araçlardan veya özelliklerden yararlanmaya çalışır; bu yaklaşım "karadan yaşamak" olarak bilinir. Kalıcılık için, Karakurt'un birden fazla farklı yöntem kullanılarak gözlemlendi. Başlangıçta, bunlar hizmet oluşturma, uzaktan yönetim araçlarını dağıtma ve Cobalt Strike işaretleri gibi kurbanın sistemlerine arka kapı tehditlerini yaymayı içeriyordu. Ancak,daha yeni Karakurt operasyonları Cobalt Strike'ı bıraktı ve bunun yerine VPN IP havuzu ve bir uzak masaüstü uygulaması olan AnyDesk aracılığıyla ağ üzerinden kalıcılık sağladı. Bilgisayar korsanları, sahip olunan kimlik bilgileri aracılığıyla yükseltilmiş ayrıcalıklar elde edemezlerse, bunu Mimikatz'ı dağıtarak veya PowerShell'i kullanarak yapmaya çalışacaklardır.

Veri hırsızlığı

Saldırıdaki son adım, kurbanın verilerinin sızdırılmasıdır. Seçilen dosyalar önce 7zip veya WinZip ile sıkıştırılır. Daha sonra, Rclone of FileZilla (SFTP), bilgi nihai olarak Mega.io bulut deposuna aktarılmadan önce belirtmek için kullanılır. Araştırmacılara göre, veri hırsızlığının evreleme aşamasında kullanılan iki dizin C:\Perflogs ve C:\Recovery'dir.

Grup, ilk tehdit edici operasyonlarından aylar önce, Haziran 2021 gibi erken bir tarihte iki veri sızıntısı sitesi kurdu. Infosec araştırmacıları tarafından belirlenen iki site karakurt.group ve karakurt.tech'dir. Hacker grubunun ayrıca Ağustos ayında oluşturulmuş bir Twitter hesabı var.