Haberler

Conti Siber Suç Çetesinin Yeni Kolu: “Karakurt” Infinitum IT’nin Raporu Çetenin İlişkisini Ortaya Çıkardı

Güvenlik araştırmacıları Conti fidye yazılımı ile yakın zamanda ortaya çıkan Karakurt veri vırsızlığı grubu arasında bir bağlantı buldu ve iki çetenin aynı operasyonun parçası olduğunu gösterdi. Karakurt, Haziran 2021’den beri aktif olan ve şirketlerden veri çalmaya ve bilgileri yayınlamakla tehdit ederek onları fidye ödemeye zorlamaya odaklanan bir çete. 2021 Eylül-Kasım arası yaklaşık iki ayda 40’tan fazla kuruluş Karakurt’un kurbanı oldu.

Siber suç altyapısı ele geçirildi

İki grup arasındaki bağlantı güvenlik araştırmacılarının, tüm ekibin lideri olduğuna inandıkları bir kullanıcının kimlik bilgileriyle dahili bir Conti VPS sunucusuna erişim sağladıktan sonra mümkün oldu. Araştırmacılar, saldırganın ProtonMail hesabını ele geçirdikten ve gerekli erişim bilgilerini bulduktan sonra sunucuya giriş yapmak mümkün oldu.

Araştırmacılar VPS sunucusuna eriştiğinde, Conti’nin kurbanlarından çaldığı 20 TB’den fazla veri depoladı. Türkiye merkezli güvenlik danışmanlığı şirketi Infinitum IT‘deki güvenlik araştırmacıları, VPS sunucusunun Rusya’da anonim ödeme yöntemlerini destekleyen ve VPN ve TOR bağlantıları üzerinden sipariş kabul eden Inferno Solutions tarafından barındırıldığını söylüyor.

Yakın tarihli bir raporda, Infinitum IT, bir Conti üyesi tarafından kullanılan birden fazla ProtonMail ve Mega depolama hesabında oturum açtıktan sonra, 27 Şubat’ta Conti sızıntıları başladığında Conti’nin altyapısına erişebildiklerini ayrıntılarıyla anlattı. Araştırmacılar e-posta hesaplarına girdikten sonra barındırma sağlayıcısından gelen e-postaları gözlemlediler ve bu da onların VPS sunucusunun yönetim paneline uzaktan erişim elde etmelerini sağladı.

Depolama sunucusundaki bilgilerin analizi, Conti’nin kamuya açıklanmayan kurbanlara ait daha eski bir zaman damgasına sahip verilere sahip olduğunu ortaya çıkardı. Infinitum IT, çalınan verileri iade etmek için kurbanlarla iletişime geçti.

Araştırmacılar, hesaplarını ihlal ettikleri Conti üyesinin, çalınan verileri yüklemek ve indirmek için birden fazla sunucuya bağlanmak için FileZilla FTP istemcisini kullandığını fark ettiler. Bir bağlantı, 209.222.98.19 IP adresine yapıldı; bu, Karakurt gasp grubunun, ödeme yapmayan kurbanlardan çalınan verileri yayınladıkları sitelerini barındırdığı yerdi. Conti yöneticisi şifreleri FTP istemcisine kaydetmezken Infinitum IT araştırmacıları, FileZilla’daki yamalanmamış bir güvenlik açığından yararlanarak Karakurt komut ve kontrol (C2) sunucusu için SSH kimlik bilgilerini elde edebildiklerini söylüyorlar. Araştırmacılar ayrıca bu şekilde, TOR ağı üzerinden de yayınlanan siteleri için Karakurt çetesinin web sunucusuna bağlanmaya izin veren bir SSH özel anahtarı elde ettiler.

Infinitum IT’nin analizine göre, Karakurt çetesinin üyeleri çalınan verileri bir “/work” klasörüne yüklüyor ve genel ve kamuya açık olmayan olarak kategorize ediyor, ilgi alanları esas olarak finansal bilgiler. Infinitum IT, Karakurt çetesinin altyapısını tamamen ele geçirdiğinden C2 sunucusuna ve saldırılarda kullanılan araçlara da erişebildiler.

Aşağıda Karakurt’un saldırılarda kullandığı yardımcı programların bir listesi ve açıklamaları yer almaktadır:

  • Ligolo-ng: tunneling and pivoting tool
  • Metasploit: used as a C2 server in the post-exploitation phase for obtaining reverse shell and for brute-forcing SMB shares and RDP connections
  • Impacket: used for NTLM-relay attacks for lateral movement after getting initial access
  • Danted: auto-install and management script for Danted–Socks5 Proxy Server, for reverse tunneling

Infinitum IT’nin raporu, Conti fidye yazılımı ve Karakurt veri hırsızlığı çetesinin aynı finansal motivasyonlu grubun parçası olduğunu gösteren ilk kamuya açık kanıt oldu.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu