Karakurt

Karakurt 是一个新成立的网络犯罪组织，在短短几个月内就成功打击了 40 多名受害者。与大多数出于经济动机的 APT 组织不同，Karakurt 不会通过勒索软件威胁对其受害者的数据进行加密。取而代之的是，它的操作重点是从被破坏的系统中窃取敏感数据，然后通过威胁向公众发布所获得的信息来勒索受害者。

Karakurt 的另一个显着特征是黑客偏离了针对大公司或关键基础设施服务的典型方法。相反，黑客正在展示一种更快的方法，他们可以危害较小的公司或公司子公司。这允许卡拉库特移动到下一个受害者迅速地。到目前为止，大多数受感染的组织都来自北美，欧洲紧随其后。

适应性威胁策略

卡拉库特黑客也展示了采用新技术的能力快速切换使用的恶意软件威胁。据埃森哲安全公司一直在监控该组织活动的信息安全研究人员称，Karakurt 使用合法的 VPN 凭据作为初始访问向量。不过，目前还没有确定黑客是如何获得这些凭据的。

一旦进入网络，网络犯罪分子就会实现持久性，尝试横向移动，并利用目标环境中已经存在的工具或功能，这种方法被称为"离开陆地"。对于持久性，已使用多种不同的方法观察到 Karakurt。最初，这些包括创建服务、部署远程管理工具以及在受害者的系统中传播后门威胁，例如 Cobalt Strike 信标。然而，最近的 Karakurt 操作已经放弃了 Cobalt Strike，而是通过 VPN IP 池和远程桌面应用程序 AnyDesk 通过网络建立持久性。如果黑客无法通过拥有的凭据获得提升的权限，他们将尝试通过部署Mimikatz或使用 PowerShell 来实现。

数据盗窃

攻击的最后一步是泄露受害者的数据。所选文件首先通过 7zip 或 WinZip 压缩。之后，在信息最终泄露到 Mega.io 云存储之前，使用 FileZilla (SFTP) 的 Rclone 进行声明。据研究人员称，在数据泄露的暂存阶段使用的两个目录是 C:\Perflogs 和 C:\Recovery。

该组织早在 2021 年 6 月，也就是第一次进行威胁性行动的几个月前，就建立了两个数据泄露站点。信息安全研究人员确定的两个站点是 karakurt.group 和 karakurt.tech。该黑客组织还有一个在 8 月创建的 Twitter 帐户。