Karakurt APT IOCs

Опубликовано

Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и инфраструктурной безопасности (CISA), Министерство финансов (Казначейство) и Сеть по борьбе с финансовыми преступлениями (FinCEN) выпускают это совместное информационное сообщение по кибербезопасности (CSA), чтобы предоставить информацию о группе вымогателей данных Karakurt, также известной как Karakurt Team и Karakurt Lair.

Karakurt APT

Жертвы Karakurt не сообщали о шифровании взломанных машин или файлов; скорее, участники Karakurt заявляли о краже данных и угрожали продать их с аукциона или обнародовать, если они не получат требуемый выкуп.
В качестве доказательства похищенных данных субъекты Karakurt обычно предоставляли скриншоты или копии каталогов украденных файлов. Каракурты также связывались с сотрудниками, деловыми партнерами и клиентами жертв, донимая их электронными письмами и телефонными звонками, чтобы заставить жертв сотрудничать. После выплаты выкупа субъекты Karakurt предоставляли доказательства удаления файлов в той или иной форме и, иногда, краткое заявление, объясняющее, как произошло первоначальное вторжение.
Судя по всему, каракурты получают доступ к устройствам жертв в основном путем покупки украденных учетных данных для входа в систему и таргетинга с помощью spearphishing. После разработки или получения доступа к взломанной системе, субъекты Karakurt: устанавливают маячки Cobalt Strike для перечисления сети, устанавливают Mimikatz для получения учетных данных в открытом виде, используют AnyDesk для получения постоянного удаленного контроля, а также используют дополнительные инструменты в зависимости от ситуации для повышения привилегий и перемещения в сети. Затем участники Karakurt сжимают (обычно с помощью 7zip) и удаляют большие объемы данных, используя приложения с открытым исходным кодом и службы протокола передачи файлов (FTP), такие как Filezilla.

Indicators of Compromise

Domains

  • karakurt.group
  • omx5iqrdbsoitf3q4xexrqw5r5tfw7vp3vl3li3lfo7saabxazshnead.onion

URLs

  • https://karakurt.group
  • https://omx5iqrdbsoitf3q4xexrqw5r5tfw7vp3vl3li3lfo7saabxazshnead.onion

Emails

  • armada.mitchell94@protonmail.com
  • confedicial.datas.download@protonmail.com
  • gapreappballye1979@protonmail.com
  • karakurtlair@gmail.com
  • personal.information.reveal@gmail.com
  • ripidelfun1986@protonmail.com
  • mark.hubert1986@gmail.com

SHA1

  • 030394b7a2642fe962a7705dcc832d2c08d006f5
  • 0e50b289c99a35f4ad884b6a3ffb76de4b6ebc14
  • 10326c2b20d278080aa0ca563fc3e454a85bb32f
  • 4d7f4bb3a23eab33a3a28473292d44c5965ddc95
  • 7e654c02e75ec78e8307dbdf95e15529aaab5dff
  • 86366bb7646dcd1a02700ed4be4272cbff5887af
  • c33129a680e907e5f49bcbab4227c0b02e191770

SHA256

  • 563bc09180fd4bb601380659e922c3f7198306e0caebe99cd1d88cd2c3fd5c1b
  • 5e2b2ebf3d57ee58cada875b8fbce536edcbbf59acc439081635c88789c67aca
  • 712733c12ea3b6b7a1bcc032cc02fd7ec9160f5129d9034bf9248b27ec057bd2
Похожие записи:
  1. TraderTraitor APT IOCs
  2. Lockbit, Hive, BlackCat APT IOCs
  3. Witchetty APT IOCs
  4. DeftTorero APT IOCs
  5. Lazarus APT IOCs - Part 3
APT CERT-US Karakurt
Добавить комментарий