Karakurt revealed as data extortion arm of Conti cybercrime syndicate
2022/04/14 BleepingComputer — サイバー犯罪者が管理するサーバーに対して、逆侵入したセキュリティ研究者たちにより、最近になって出現した Karakurt データ強奪グループと、Conti ランサムウェアとの関連性が発見され、この2つのギャングが同じオペレーションに属することが明らかになった。ロシアの組織である Conti ランサムウェア・シンジケートは、あるハッキング・グループによる内部会話やソースコードの大量流出にもかかわらず、機能不全に陥ることもなく、現時点で最も盛んなサイバー犯罪者グループの1つであり続けている。
Karakurt は、2021年6月ころから活動しているギャングであり、企業からデータを盗み、情報を公開すると脅し、身代金を支払わせることに重点を置いている。2021年9月〜11月にかけての約2カ月間で、40以上の組織が Karakurt の犠牲になっている。
サイバー犯罪者のインフラをパンクさせる
セキュリティ研究者たちが、シンジケート全体のリーダーと思われるユーザーの認証情報を取得し、Conti VPS サーバーにアクセスしたことで、2つのグループ間の連携が明らかになった。具体的に言うと、脅威アクターの ProtonMail アカウントに侵入し、必要なアクセス情報を見つけた後に、VPS サーバーへのログインが可能になったとのことだ。

この VPS サーバーに、研究者たちがアクセスしたところ、攻撃の暗号化ステージを展開する前に Conti が犠牲者から盗み出した、20TB 以上のデータが保存されていた。
トルコに拠点を置くセキュリティ・コンサルティング会社 Infinitum IT のセキュリティ研究者によると、この VPS サーバーは、匿名の支払い方法をサポートし、VPNや TOR 接続を介して注文を受け付ける、ロシアのプロバイダー Inferno Solutions によりホスティングされているとのことだ。
この Inferno Solutions は、「スパマー/詐欺師/サイバー犯罪者は許さない。常にクライアントの側に立つ。違法や悪用などの苦情があっても、クライアントを妨害しない 」と主張している。
最近のレポートで Infinitum IT は、Conti からの情報流出が始まった 2月27日に、ある Cont iメンバーが使用していた、複数の ProtonMail と Mega ストレージのアカウントにログインし、Conti のインフラにアクセスすることができたと詳述している。
そのメール・アカウントに侵入した研究者は、Inferno Solutions のホスティング・プロバイダからの受信メールを観測し、VPS サーバーの管理パネルにリモート・アクセスできた。

そのストレージ・サーバーの情報を分析した結果、一般に公開されていない被害者の、古いタイムスタンプのデータを、Conti が保有していることが判明した。Infinitum IT は被害者に対して、盗まれたデータを取り戻すよう連絡した。
研究者たちは、彼らが侵入したアカウントを持つ Conti メンバーが、FileZilla FTP クライアントを介して複数のサーバーに接続し、盗み出したデータをアップロード/ダウンロードしていたことに気づいた。
そのうちの1つは、IP アドレス 209[.]222[.]98[.]19 への接続であり、未払いの被害者から盗んだデータを Karakurt 恐喝グループが公開する、サイトをホスティングしているロケーションだった。
BleepingComputer は、Advanced Intelligence の Vitali Kremez から、Karakurt が Conti シンジケートのサイド・ビジネスであり、失敗した暗号化攻撃から収益を得ていることを数ヶ月前に検知していた。Conti のランサムウェアのペイロードがブロックされ、攻撃が暗号化段階に入らなかった場合に、すでに流出した情報を Karakurt として公開ししていた。
以前に、Conti に報酬を支払ってデータ・ロックを解除したクライアントを、サイバー・セキュリティ企業である Arctic Wolf が調査した結果、Conti が残していった Cobalt Strike バックドア経由で、その後に Karakurt に侵入されたことを、当該クライアントは確認していた。
Arctic Wolf の調査は、同社のコンピュータ・セキュリティ・サービスである Tetra Defense と、サイバー・セキュリティ企業の Northwave、ブロックチェーン分析企業の Chainalysis が共同で行ったものであり、10数件の Karakurt インシデントや Conti と Karakurt 運営者が関わる暗号通貨取引からの手掛かりもとに行われている。
そのときの Chainalysis の調査により、Conti が管理するウォレットに暗号通貨を送信する、Karakurt ウォレットが複数存在することが判明した。研究者たちによると、被害者からの支払い額は $45,000〜$1 million である。同社は、Conti ウォレットによってホストされている、Karakurt 被害者からの支払いアドレスも発見し、両方のギャングが同じ当事者により管理されていることが示された。

Karakurt サーバーへのアクセス
Conti の管理者は、FTP クライアントにパスワードを保存していなかったが、Infinitum IT の研究者によると、FileZilla 上の未パッチの脆弱性を介して、Karakurt の Command and Control (C2) サーバーの SSH 認証情報を取得できた。また、研究者たちは、TOR ネットワーク経由で提供されている、Karakurt のリーク・サイト用 Web サーバーへの接続を可能にする SSH 秘密鍵も、この方法で入手した。

Infinitum IT の分析によると、Karakurt ギャングのメンバーは、盗んだデータを「/work」フォルダにアップロードし、公開と非公開に分類しており、彼らの関心は主に金融情報にあるとされる。Infinitum IT が、Karakurt ギャングのインフラを完全に侵害したことで、C2 サーバーと攻撃に使用されるツールにもアクセスできたという。

以下は、Karakurt が攻撃で使用するユーティリティと、その説明である。
- Ligolo-ng:トンネリングおよびピボッティング・ツール。
- Metasploit:リバースシェルの取得、SMB 共有、RDP 接続のブルートフォースなどで侵入した後の段階で、C2 サーバーとして使用される。
- Impacket: NTLM リレー攻撃で、初期アクセス後の横移動に使用される。
- Danted: Danted-Socks5 Proxy Server の自動インストール/管理スクリプトでありリバース・トンネリングに用いられる。
Infinitum IT のレポートは、Conti ランサムウェアと Karakurt データ強奪ギャングが、同じ金銭的動機のグループの一部であることを示す最初の公的証拠である。Conti が TrickBot ボットネットを引き継ぎ、BazarBackdoor と Anchor マルウェアの開発に専念するために活動を停止した後に、より積極的なシンジケートの拡大が行われていると、研究者たちは示している。
現時点において Conti は、ランサムウェアの運用を維持する一方で、すでに利用可能なイニシャル・ネットワーク・アクセスを収益化するための、サイド・ビジネスも管理している。
更新 [3月15日11:54 EST]:サイバーセキュリティ企業 Arctic Wolf からの情報により、Karakurt と Conti が同じオペレーションに属していることが確認され、この記事は更新された。
長い記事でしたが、こういうコンテンツは訳すのが楽しいです。それにしても、Conti は強大な存在ですね。かなりのプレッシャーが掛かっているはずですが、同じ 4月14日に「風力発電機大手の Nordex が Conti ランサムウェアの攻撃に遭っている」という記事がありました。2月25日の「Conti ランサムウェア:ロシア政府のウクライナ侵攻を全面的に支持すると表明」や、3月1日の「ウクライナの研究者が反撃:Conti ランサムウェアのソースコードが大規模に流出」からも推測できるように、ロシアによるウクライナ侵攻が背景にあるのかもしれません。なお、この記事のソースは、The Karakurt Web: Threat Intel and Blockchain Analysis Reveals Extension of Conti Business Model となります。