Karakurt

Karakurt 是一個新成立的網絡犯罪組織，在短短幾個月內就成功打擊了 40 多名受害者。與大多數出於經濟動機的 APT 組織不同，Karakurt 不會通過勒索軟件威脅對其受害者的數據進行加密。取而代之的是，它的操作重點是從被破壞的系統中竊取敏感數據，然後通過威脅向公眾發布所獲得的信息來勒索受害者。

Karakurt 的另一個顯著特徵是黑客偏離了針對大公司或關鍵基礎設施服務的典型方法。相反，黑客正在展示一種更快的方法，他們可以危害較小的公司或公司子公司。這允許卡拉庫特移動到下一個受害者迅速地。到目前為止，大多數受感染的組織都來自北美，歐洲緊隨其後。

適應性威脅策略

卡拉庫特黑客也展示了採用新技術的能力快速切換使用的惡意軟件威脅。據埃森哲安全公司一直在監控該組織活動的信息安全研究人員稱，Karakurt 使用合法的 VPN 憑據作為初始訪問向量。不過，目前還沒有確定黑客是如何獲得這些憑據的。

一旦進入網絡，網絡犯罪分子就會實現持久性，嘗試橫向移動，並利用目標環境中已經存在的工具或功能，這種方法被稱為"離開陸地"。對於持久性，已使用多種不同的方法觀察到 Karakurt。最初，這些包括創建服務、部署遠程管理工具以及在受害者的系統中傳播後門威脅，例如 Cobalt Strike 信標。然而，最近的 Karakurt 操作已經放棄了 Cobalt Strike，而是通過 VPN IP 池和遠程桌面應用程序 AnyDesk 通過網絡建立持久性。如果黑客無法通過擁有的憑據獲得提升的權限，他們將嘗試通過部署Mimikatz或使用 PowerShell 來實現。

數據盜竊

攻擊的最後一步是洩露受害者的數據。所選文件首先通過 7zip 或 WinZip 壓縮。之後，在信息最終洩露到 Mega.io 雲存儲之前，使用 FileZilla (SFTP) 的 Rclone 進行聲明。據研究人員稱，在數據洩露的暫存階段使用的兩個目錄是 C:\Perflogs 和 C:\Recovery。

該組織早在 2021 年 6 月，也就是第一次進行威脅性行動的幾個月前，就建立了兩個數據洩露站點。信息安全研究人員確定的兩個站點是 karakurt.group 和 karakurt.tech。該黑客組織還有一個在 8 月創建的 Twitter 帳戶。