Karakurt

Karakurt là một nhóm tội phạm mạng mới thành lập, chỉ trong vài tháng đã tấn công hơn 40 nạn nhân. Không giống như phần lớn các nhóm APT có động cơ tài chính, Karakurt không mã hóa dữ liệu của nạn nhân thông qua mối đe dọa ransomware. Thay vào đó, các hoạt động của nó tập trung vào việc lấy dữ liệu nhạy cảm từ các hệ thống bị xâm phạm và sau đó tống tiền các nạn nhân bằng cách đe dọa tiết lộ thông tin thu được cho công chúng.

Một đặc điểm khác biệt khác của Karakurt là các tin tặc đã đi chệch khỏi cách tiếp cận điển hình là nhắm vào các tập đoàn lớn hoặc các dịch vụ cơ sở hạ tầng quan trọng. Thay vào đó, các tin tặc đang thể hiện một cách tiếp cận nhanh hơn, nơi chúng xâm nhập các công ty nhỏ hơn hoặc các công ty con của công ty. Điều này cho phép Karakurt di chuyển đến nạn nhân tiếp theo Mau. Cho đến nay, phần lớn các tổ chức bị xâm nhập đến từ Bắc Mỹ, với châu Âu là một quốc gia xa xôi thứ hai.

Chiến thuật Đe dọa Thích ứng

Các tin tặc Karakurt cũng đã thể hiện khả năng áp dụng các kỹ thuật mới nhanh chóng và chuyển đổi các mối đe dọa phần mềm độc hại đã sử dụng. Theo các nhà nghiên cứu infosec tại Accenture Security, những người đã theo dõi các hoạt động của nhóm, Karakurt sử dụng thông tin đăng nhập VPN hợp pháp làm véc tơ truy cập ban đầu. Tuy nhiên, cho đến nay vẫn chưa xác định được bằng cách nào mà các tin tặc có được những thông tin đăng nhập này.

Khi đã ở trong mạng, tội phạm mạng đạt được sự bền bỉ, cố gắng di chuyển theo chiều ngang và khai thác các công cụ hoặc tính năng đã tồn tại trên môi trường được nhắm mục tiêu, một cách tiếp cận được gọi là 'sống ngoài đất liền'. Để có được sự bền bỉ, Karakurt đã được quan sát bằng nhiều phương pháp khác nhau. Ban đầu, chúng bao gồm việc tạo dịch vụ, triển khai các công cụ quản lý từ xa và lây lan các mối đe dọa từ cửa hậu qua hệ thống của nạn nhân, chẳng hạn như báo hiệu Cobalt Strike. Tuy nhiên, các hoạt động Karakurt gần đây hơn đã loại bỏ Cobalt Strike và thay vào đó thiết lập tính ổn định thông qua mạng thông qua VPN IP pool và AnyDesk, một ứng dụng máy tính để bàn từ xa. Nếu tin tặc không có được các đặc quyền nâng cao thông qua thông tin đăng nhập sở hữu, chúng sẽ cố gắng thực hiện điều này bằng cách triển khai Mimikatz hoặc sử dụng PowerShell.

Trộm cắp dữ liệu

Bước cuối cùng của cuộc tấn công là đánh cắp dữ liệu của nạn nhân. Các tệp đã chọn trước tiên được nén thông qua 7zip hoặc WinZip. Sau đó, Rclone của FileZilla (SFTP) được sử dụng để nêu rõ trước khi thông tin cuối cùng được chuyển sang bộ lưu trữ đám mây Mega.io. Theo các nhà nghiên cứu, hai thư mục được sử dụng trong giai đoạn lọc dữ liệu là C: \ Perflogs và C: \ Recovery.

Nhóm đã thiết lập hai trang web rò rỉ dữ liệu sớm nhất vào tháng 6 năm 2021, vài tháng trước khi hoạt động đe dọa đầu tiên của họ. Hai trang web được các nhà nghiên cứu infosec xác định là karakurt.group và karakurt.tech. Nhóm hacker này cũng có một tài khoản Twitter được tạo vào tháng Tám.