Karakurt恐喝グループ

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

今日は最近活動している脅威犯罪者グループKarakurtに関してCSAが共同アドバイザリーを発行しているので紹介していきたいと思います。

概要

引用:https://www.cisa.gov/uscert/ncas/alerts/aa22-152a

米国の以下に示すセキュリティ当局が共同で発行したジョイントサイバーセキュリティアドバイザリーがKarakurtチームとして知られるKarakurt恐喝グループの情報に関して提供しています。

The Federal Bureau of Investigation (FBI):連邦捜査局
The Cybersecurity and Infrastructure Security Agency (CISA):サイバーセキュリティ。インフラストラクチャ・セキュリティ局
The Department of the Treasury (Treasury) :財務省
The Financial Crimes Enforcement Network (FinCEN):金融犯罪取締ネットワーク

Karakurt脅威犯罪者は、さまざまな戦略、戦術、手順(TTP)を採用しており、企業・組織のインフラを防御するにあたり大きな課題となっています。
Karakurtの被害者は、感染した機器や暗号化されたファイルがあることを報告していません。
Karakur脅威犯罪者がデータを盗むと主張し、要求された身代金の支払いを受けなければ、それをオークションにかけたり、一般に公開したりすると脅しています。
既知の身代金要求は、ビットコインで25,000ドルから13,000,000ドルの範囲であり、支払い期限は通常、被害者との最初の接触から1週間以内に満了するよう設定されています。

Karakurt脅威犯罪者は、通常、盗まれたデータの証拠として、スクリーンショットや盗まれたファイルディレクトリのコピーを提供しています。
被害者の従業員、ビジネスパートナー、顧客 [T1591.002] に嫌がらせの電子メールや電話で接触し、被害者に協力するよう圧力をかけています。
電子メールには、社会保障番号、支払口座、個人的な会社の電子メール、従業員や顧客が所有する機密のビジネスデータなど、盗まれたデータの例が記載されています。
身代金の支払いに際しては、Karakurtは、何らかの形でファイルの削除を証明し、時には、最初の侵入がどのように行われたかを説明する簡単な文章を提供していました。

2022年1月5日以前、Karakurtは、https://karakurt[.]groupに見られるリークとオークションのウェブサイトを運営していました。
もともとこのウェブサイトをホストしていたドメインとIPアドレスは、2022年春にオフラインになりました。
このウェブサイトはオープンなインターネットではアクセスできなくなりましたが、ディープウェブやダークウェブなどの別の場所にあることが報告されています。
2022年5月の時点で、このウェブサイトには、北米とヨーロッパ全域の被害者のものとされる数テラバイトのデータと、支払いや協力をしていない被害者の名前を挙げた複数の”プレスリリース”、被害者データの”オークション”に参加するための手順が掲載されていました。

技術詳細

初期侵入手口

Karakurt は、特定の業種、産業、またはタイプの被害者をターゲットにしていないようです。
偵察中[TA0043]の間に、Karakurtは、被害者のデバイスへのアクセスを取得するようです。

  • 盗まれたログイン認証情報を購入 [T1589.001] [T1589.002];
  • サイバー犯罪コミュニティの協力的なパートナーを通じて、すでに侵害された被害者のアクセス方法をKarakurtに提供
  • サードパーティの侵入ブローカーネットワーク [T1589.001] を介して、すでに侵害された被害者へのアクセスを購入
    注:侵入ブローカーまたは侵入ブローカーネットワークは、悪意のある個人のサイバー脅威犯罪者または脅威犯罪者グループであり、さまざまなツールやスキルを使用して、保護されたコンピュータシステム内に最初のアクセスを取得し、多くの場合、市場価値のある継続的に接続可能なアクセス手段を作成することができます。
    侵入ブローカーはその後、ランサムウェア、ビジネスメールの漏洩、企業や政府のスパイ活動などに従事する他のサイバー犯罪者に、これらの侵害されたコンピュータシステムへのアクセスを販売します。

Karakurtが初期アクセス[TA001]に悪用する一般的な侵入の脆弱性は以下の通りです。

  • 旧式のSonicWall SSL VPNアプライアンス [T1133] には、最近の複数のCVEの脆弱性が存在
  • Log4j “Log4Shell” Apache Logging Services の脆弱性 (CVE-2021-44228) [T1190]
  • フィッシングとスピアフィッシング [T1566]
  • 電子メールの添付ファイル内の悪意のあるマクロ [T1566.001]
  • 盗まれた仮想プライベートネットワーク(VPN)またはリモートデスクトッププロトコル(RDP)の認証情報 [T1078]
  • 旧式の FortiGate SSL VPN アプライアンス [T1133]/firewall アプライアンス [T1190] は、最近の複数の CVE に対する脆弱性
  • Microsoft Windows Server の古いインスタンスや保守されていないインスタンス

ネットワーク偵察、侵入、継続的な接続、浸透
侵害されたシステムを開発またはアクセスすると、Karakurtは、ネットワークに侵入するためにCobalt Strikeビーコンを展開し[T1083]、平文の認証情報を引き出すためにMimikatzをインストールし[T1078]、持続的なリモートコントロールを得るためにAnyDeskを使用し[T1219]、権限を上昇させネットワーク内で横移動するために追加の状況依存ツールを利用します。

そして、Karakurtは、Filezillaなどのオープンソースアプリケーションやファイル転送プロトコル(FTP)サービス[T1048]、rcloneやMega.nzなどのクラウドストレージサービス[T1567.002]を使って大量のデータを圧縮し(通常は7zip)、多くの場合、ネットワーク接続した共有ドライブ全体(1TB以上のボリューム)を流出させるという手法を取ります。

恐喝

データの流出後、Karakurtの関係者は、”readme.txt”ファイルを感染した電子メールネットワークを介して被害者の従業員の電子メールおよび外部の電子メールアカウントから被害者の従業員に送られる電子メールを介して、身代金要求書を被害者に提示する。
身代金要求書は、被害者が”Karakurtチーム”にハッキングされたことを明らかにし、盗まれたデータの公開やオークションをすると恐喝します。
指示書には、アクセスコードが記載されたTOR URLへのリンクが含まれています。
このURLにアクセスし、アクセスコードを入力すると、チャットアプリケーションが起動し、被害者はKarakurtのメンバーとデータの削除を交渉することができます。

Karakurtの被害者は、Karakurtによる大規模な嫌がらせ攻撃を報告しており、従業員、ビジネスパートナー、および顧客は、被害者データの流布を防ぐためにKarakurtと交渉するよう、受信者に警告する電子メールや電話を何度も受信したと報告されています。
これらのコミュニケーションには、雇用記録、健康記録、金融ビジネス記録など、主に個人を特定できる情報(PII)の盗難データのサンプルが含まれていることがよくあります。

Karakurtと交渉した被害者は、盗まれたとされるデータのファイルツリーを示すスクリーンショットや、場合によっては盗まれたファイルの実際のコピーなどの”生存証明”を受け取ります。
被害者と盗まれたデータの価格について合意に達すると、Karakurtはビットコインアドレス(通常は新しい、これまで使われていなかったアドレス)を提供し、そこに身代金の支払いが行われます。
身代金を受け取ると、Karakurtは、ファイルが削除されている画面の記録、削除ログ、または被害者がストレージサーバーにログインしてファイルを自分で削除するための認証情報など、何らかの形で盗まれたファイルの削除を証明するものとされるものを提供します。

Karakurtの主な恐喝手段は、盗まれたデータの削除と事件の機密保持を約束することですが、一部の被害者は、Karakurtが身代金の支払い後に被害者情報の機密を保持していなかったと報告しています。注:米国政府は、Karakurt脅威犯罪者、または支払いと引き換えに盗まれたファイルの削除を約束するサイバー犯罪者に対して、いかなる身代金の支払いも行わないよう強く勧告しています。

また、Karakurtは、前に他のランサムウェアの亜種によって攻撃された被害者に対して、恐喝を行ったケースもあります。
このような場合、Karakurtは、前に盗まれたデータを購入するか、その他の方法で入手したと思われます。
また、Karakurtは、被害者が他のランサムウェア脅威犯罪者から攻撃を受けているのと同時に、その被害者をターゲットにしたこともあります。
このようなケースでは、被害者が複数のランサムウェアの亜種から同時に身代金請求書を受け取っており、Karakurtが、別のランサムウェア行為者に売却された感染したシステムへのアクセス権を購入したことが示唆されます。

また、Karakurtの関係者は、被害者が侵害された度合いや盗まれたデータの価値を誇張しています。
例えば、Karakurtは、感染したシステムのストレージ容量をはるかに超える量のデータを盗むと主張したり、被害者のものではないデータを盗むと主張したりすることがありました。

IOC(侵入痕跡)

Email
mark.hubert1986@gmail.com; karakurtlair@gmail.com; personal.information.reveal@gmail.com; ripidelfun1986@protonmail.com; gapreappballye1979@protonmail.com; confedicial.datas.download@protonmail.com; armada.mitchell94@protonmail.com
Protonmail email accounts in the following formats: victimname_treasure@protonmail.com victimname_jewels@protonmail.com victimname_files@protonmail.com
Tools
Onion sitehttps://omx5iqrdbsoitf3q4xexrqw5r5tfw7vp3vl3li3lfo7saabxazshnead.onion  
ToolsRclone.exe;; AnyDesk.exe; Mimikatz
NgrokSSH tunnel application SHA256 – 3e625e20d7f00b6d5121bb0a71cfa61f92d658bcd61af2cf5397e0ae28f4ba56
DDLs masquerading as legitimate Microsoft binaries to System32Mscxxx.dll: SHA1 – c33129a680e907e5f49bcbab4227c0b02e191770 Msuxxx.dll: SHA1 – 030394b7a2642fe962a7705dcc832d2c08d006f5
Msxsl.exeLegitimate Microsoft Command Line XSL Transformation Utility SHA1 – 8B516E7BE14172E49085C4234C9A53C6EB490A45
dllhosts.exe Rclone SHA1 – fdb92fac37232790839163a3cae5f37372db7235
rclone.confRclone configuration file
filter.txtRclone file extension filter file
c.batUNKNOWN
3.batUNKNOWN
Potential malicious documentSHA1 – 0E50B289C99A35F4AD884B6A3FFB76DE4B6EBC14
Tools 
Potential malicious documentSHA1 – 7E654C02E75EC78E8307DBDF95E15529AAAB5DFF
Malicious text fileSHA1 – 4D7F4BB3A23EAB33A3A28473292D44C5965DDC95
Malicious text fileSHA1 – 10326C2B20D278080AA0CA563FC3E454A85BB32F

Cobalt Strike hashes
SHA256 – 563BC09180FD4BB601380659E922C3F7198306E0CAEBE99CD1D88CD2C3FD5C1B
SHA256 – 5E2B2EBF3D57EE58CADA875B8FBCE536EDCBBF59ACC439081635C88789C67ACA
SHA256 – 712733C12EA3B6B7A1BCC032CC02FD7EC9160F5129D9034BF9248B27EC057BD2
SHA256 – 563BC09180FD4BB601380659E922C3F7198306E0CAEBE99CD1D88CD2C3FD5C1B
SHA256 – 5E2B2EBF3D57EE58CADA875B8FBCE536EDCBBF59ACC439081635C88789C67ACA
SHA256 – 712733C12EA3B6B7A1BCC032CC02FD7EC9160F5129D9034BF9248B27EC057BD2
SHA1 – 86366bb7646dcd1a02700ed4be4272cbff5887af
Ransom note text sample:
1.Here’s the deal  We breached your internal network and took control over all of your systems.
2.We analyzed and located each piece of more-or-less important files while spending weeks inside.
3.We exfiltrated anything we wanted (xxx GB (including Private & Confidential information, Intellectual Property, Customer Information and most important Your TRADE SECRETS)
Ransom note text sample:
FAQ:  Who the hell are you?
The Karakurt Team. Pretty skilled hackers I guess

Payment Wallets:
bc1qfp3ym02dx7m94td4rdaxy08cwyhdamefwqk9hp
bc1qw77uss7stz7y7kkzz7qz9gt7xk7tfet8k30xax
bc1q8ff3lrudpdkuvm3ehq6e27nczm393q9f4ydlgt
bc1qenjstexazw07gugftfz76gh9r4zkhhvc9eeh47
bc1qxfqe0l04cy4qgjx55j4qkkm937yh8sutwhlp4c
bc1qw77uss7stz7y7kkzz7qz9gt7xk7tfet8k30xax
bc1qrtq27tn34pvxaxje4j33g3qzgte0hkwshtq7sq
bc1q25km8usscsra6w2falmtt7wxyga8tnwd5s870g
bc1qta70dm5clfcxp4deqycxjf8l3h4uymzg7g6hn5
bc1qrkcjtdjccpy8t4hcna0v9asyktwyg2fgdmc9al
bc1q3xgr4z53cdaeyn03luhen24xu556y5spvyspt8
bc1q6s0k4l8q9wf3p9wrywf92czrxaf9uvscyqp0fu
bc1qj7aksdmgrnvf4hwjcm5336wg8pcmpegvhzfmhw
bc1qq427hlxpl7agmvffteflrnasxpu7wznjsu02nc
bc1qz9a0nyrqstqdlr64qu8jat03jx5smxfultwpm0
bc1qq9ryhutrprmehapvksmefcr97z2sk3kdycpqtr
bc1qa5v6amyey48dely2zq0g5c6se2keffvnjqm8ms
bc1qx9eu6k3yhtve9n6jtnagza8l2509y7uudwe9f6
bc1qtm6gs5p4nr0y5vugc93wr0vqf2a0q3sjyxw03w
bc1qta70dm5clfcxp4deqycxjf8l3h4uymzg7g6hn5
bc1qx9eu6k3yhtve9n6jtnagza8l2509y7uudwe9f6
bc1qqp73up3xff6jz267n7vm22kd4p952y0mhcd9c8
bc1q3xgr4z53cdaeyn03luhen24xu556y5spvyspt8

MITRE ATT&CK TECHNIQUES

Karakurt脅威犯罪者が使用するATT&CK技術

Reconnaissance
Technique TitleIDUse
Gather Victim Identify Information: CredentialsT1589.001Karakurt actors have purchased stolen login credentials.
Gather Victim Identity Information: Email AddressesT1589.002Karakurt actors have purchased stolen login credentials including email addresses.
Gather Victim Org Information: Business RelationshipsT1591.002Karakurt actors have leveraged victims’ relationships with business partners.
Initial Access
Technique TitleIDUse
Exploit Public-Facing ApplicationsT1190Karakurt actors have exploited the Log4j “Log4Shell” Apache Logging Service vulnerability and vulnerabilities in outdated firewall appliances for gaining access to victims’ networks.
External Remote ServicesT1133Karakurt actors have exploited vulnerabilities in outdated VPN appliances for gaining access to victims’ networks.
PhishingT1566Karakurt actors have used phishing and spearphishing to obtain access to victims’ networks.
Phishing – Spearphishing AttachmentT1566.001Karakurt actors have sent malicious macros as email attachments to gain initial access.
Valid AccountsT1078Karakurt actors have purchased stolen credentials, including VPN and RDP credentials, to gain access to victims’ networks.
Privilege Escalation
Technique TitleIDUse
Valid AccountsT1078Karakurt actors have installed Mimikatz to pull plain-text credentials.
 Discovery
Technique TitleIDUse
File and Directory DiscoveryT1083Karakurt actors have deployed Cobalt Strike beacons to enumerate a network.
 Command and Control
Technique TitleIDUse
Remote Access SoftwareT1219Karakurt actors have used AnyDesk to obtain persistent remote control of victims’ systems.
 Exfiltration  
Technique TitleIDUse
Exfiltration Over Alternative ProtocolT1048Karakurt actors have used FTP services, including Filezilla, to exfiltrate data from victims’ networks.
Exfiltration Over Web Service: Exfiltration to Cloud StorageT1567.002Karakurt actors have used rclone and Mega.nz to exfiltrate data stolen from victims’ networks.

緩和策

  • 機密または専有データ及びサーバーの複数のコピーを、物理的に分離・分割された安全な場所(ハードディスク、記憶装置、クラウドなど)に維持・保持するための復旧計画を実施。
  • ネットワーク・セグメンテーションを実施し、データのオフライン・バックアップを維持することで、組織への影響を最小限化
  • 定期的にデータをバックアップし、バックアップコピーをオフラインでパスワード保護化。
    重要なデータのコピーは、そのデータが存在するシステムから、変更または削除のためにアクセスできないように保護。
  • すべてのホストにウイルス対策ソフトをインストールし、定期的に更新し、リアルタイムで検出。
  • オペレーティングシステム、ソフトウェア、ファームウェアのアップデート/パッチがリリースされたら、すぐにインストール。
  • ドメインコントローラー、サーバー、ワークステーション、アクティブディレクトリに新規アカウントや未認識のアカウントがないか確認。
  • 管理者権限を持つユーザーアカウントを監査し、最小権限を念頭に置いたアクセス制御を構成。
    すべてのユーザーに管理者権限を停止。
  • 未使用のポートを無効化。
  • 組織外から受信したメールには、メールバナーの追加を検討。
  • 受信したメールに含まれるハイパーリンクを無効化。
  • 多要素認証の導入
  • パスワードポリシーの策定と管理には、米国国立標準技術研究所(NIST)規格を使用。
    • 8文字以上、64文字以下の長いパスワードを使用。
    • 業界で認知されたパスワードマネージャーを使用し、パスワードをハッシュ化した形式で保存。
    • パスワードの再利用を停止
    • ログインに何度も失敗した場合は、アカウントをロックアウト。
    • パスワードの「ヒント」を無効化。
    • 1年に1回以上のパスワード変更を要求しない。
      注:NISTのガイダンスでは、定期的かつ頻繁なパスワードのリセットを要求する代わりに、より長いパスワードを推奨しています。
      頻繁にパスワードのリセットを行うと、サイバー犯罪者が容易に解読できるパスワードの”パターン”をユーザーが身に付けてしまう可能性が高くなるためです。
    • ソフトウェアのインストールには、管理者の認証が必要である。
  • 安全なネットワークのみを使用し、公共のWi-Fiネットワークの使用は避ける。
    VPNを導入し、利用することを検討。
  • サイバーセキュリティの意識向上とトレーニングに重点を置く。
    情報セキュリティの原則と技術、およびサイバーセキュリティのリスクと脆弱性(ランサムウェアやフィッシング詐欺など)に関するトレーニングを定期的にユーザーに提供。

おわりに

Qちゃん
Qちゃん

初期侵入から、ランサムウェアによる恐喝までの手口(戦略、戦術、手順)を公開しています。

盗難されたクレデンシャルの購入、侵入済みのアクセス手段の購入など、そういった手法が増えています。

最近ではパスワードはランダムパスワードを生成し、パスワードマネージャーで管理することが推奨されています。

皆様も推奨する緩和策を実行し、攻撃に備えてください。

コメント

タイトルとURLをコピーしました