Karakurt
カラクルトは新しく設立されたサイバー犯罪グループであり、わずか2、3か月で40人以上の犠牲者を攻撃しました。金銭的に動機付けられたAPTグループの大多数とは異なり、カラクルトはランサムウェアの脅威を介して被害者のデータを暗号化しません。代わりに、その操作は、侵害されたシステムから機密データを盗み出し、取得した情報を一般に公開すると脅迫して被害者を恐喝することに重点を置いています。
カラクルトのもう1つの明確な特徴は、ハッカーが大企業や重要なインフラストラクチャサービスを標的とする一般的なアプローチから逸脱していることです。代わりに、ハッカーは中小企業や企業子会社を危険にさらすというより迅速なアプローチを示しています。これにより、カラクルトは次の犠牲者に移動することができます早く。これまでのところ、侵害された組織の大部分は北米からのものであり、ヨーロッパが2番目に遠いです。
適応型脅迫戦術
Karakurtハッカーは、新しい技術を採用する能力も示しています迅速に使用されたマルウェアの脅威を切り替えます。グループの活動を監視しているアクセンチュアセキュリティのinfosec研究者によると、カラクルトは最初のアクセスベクトルとして正当なVPNクレデンシャルを採用しています。ただし、これまでのところ、ハッカーがこれらの資格情報を取得する方法は決定されていません。
ネットワーク内に入ると、サイバー犯罪者は永続性を実現し、横方向に移動しようとし、ターゲット環境にすでに存在するツールや機能を悪用します。これは、「土地から離れて暮らす」と呼ばれるアプローチです。永続性のために、カラクルトは複数の異なる方法を使用して観察されています。当初、これらには、サービスの作成、リモート管理ツールの展開、CobaltStrikeビーコンなどの被害者のシステム全体へのバックドアの脅威の拡散が含まれていました。でも、最近のカラクルトの操作では、Cobalt Strikeが廃止され、代わりにVPNIPプールとリモートデスクトップアプリケーションであるAnyDeskを介してネットワークを介して永続性が確立されています。ハッカーが所有している資格情報を介して昇格された特権を取得できない場合は、 Mimikatzを展開するか、PowerShellを使用して取得しようとします。
データの盗難
攻撃の最後のステップは、被害者のデータの漏洩です。選択したファイルは、最初に7zipまたはWinZipのいずれかで圧縮されます。その後、Rclone of FileZilla(SFTP)を使用して、情報が最終的にMega.ioクラウドストレージに転送される前に通知します。研究者によると、データ抽出のステージング段階で使用された2つのディレクトリは、C:\ PerflogsとC:\ Recoveryです。
このグループは、最初の脅威となる操作の数か月前に、早くも2021年6月に2つのデータ漏洩サイトを設置しました。 infosecの研究者によって特定された2つのサイトは、karakurt.groupとkarakurt.techです。ハッカーグループには、8月に作成されたTwitterアカウントもあります。
