каракурт

Каракурт – це нещодавно створена кіберзлочинна група, яка лише за пару місяців зуміла вразити понад 40 жертв. На відміну від більшості фінансово мотивованих груп APT, Karakurt не шифрує дані своїх жертв за допомогою загрози-вимагача. Натомість його операції зосереджені на вилученні конфіденційних даних із зламаних систем, а потім на вимаганні жертв, погрожуючи оприлюднити отриману інформацію.

Ще одна відмінна характеристика Каракурта полягає в тому, що хакери відхилилися від типового підходу, спрямованого на великі корпорації або послуги критичної інфраструктури. Натомість хакери демонструють більш швидкий підхід, коли вони скомпрометують менші компанії або корпоративні дочірні компанії. Це дозволяє каракурту перейти до наступної жертви швидко. Поки що більшість скомпрометованих організацій були з Північної Америки, а Європа була на другому місці.

Адаптивна загрозлива тактика

Каракуртські хакери також продемонстрували здатність приймати нові методи швидко та змінювати використовувані шкідливі загрози. За словами дослідників infosec з Accenture Security, які спостерігали за діяльністю групи, Karakurt використовує законні облікові дані VPN як початковий вектор доступу. Однак поки що не встановлено, яким чином хакери отримують ці облікові дані.

Потрапляючи в мережу, кіберзлочинці досягають стійкості, намагаються рухатися в стороні та використовувати інструменти чи функції, які вже існують у цільовому середовищі, підхід, відомий як «життя на землі». Для стійкості каракурт спостерігали за допомогою кількох різних методів. Спочатку вони включали створення сервісів, розгортання інструментів віддаленого керування та поширення загроз від заднього ходу в системах жертви, таких як маяки Cobalt Strike. однак, останні операції Karakurt відмовилися від Cobalt Strike і замість цього встановили стабільність через мережу через пул IP-адресів VPN і AnyDesk, програму віддаленого робочого столу. Якщо хакерам не вдасться отримати підвищені привілеї за допомогою наявних облікових даних, вони спробують зробити це, розгорнувши Mimikatz або за допомогою PowerShell.

Крадіжка даних

Останнім етапом атаки є ексфільтрація даних жертви. Вибрані файли спочатку стискаються за допомогою 7zip або WinZip. Після цього Rclone of FileZilla (SFTP) використовується для констатації перед тим, як інформація остаточно проникне в хмарне сховище Mega.io. За словами дослідників, два каталоги, які використовувалися на етапі ексфільтрації даних, це C:\Perflogs і C:\Recovery.

Група створила два сайти витоку даних ще в червні 2021 року, за місяці до їхньої першої загрозливої операції. Два сайти, визначені дослідниками infosec, це karakurt.group і karakurt.tech. Хакерська група також має акаунт у Twitter, створений у серпні.