Operation $mercenary$：弥漫在东欧平原的战争迷雾

值得一提的是，我们在有些现场发现了Karakurt Group留下的勒索信，这从侧面印证了Karakurt Group曾经与Conti Group存在合作，国外研究人员认为Karakurt Group作为Conti Group的红队专门用来渗透攻击^[1]，基于我们观察到的案例，Conti 相关的勒索事件中所用的手法和C2基础设施确实与Karakurt Group有着很深的关联，由于Conti Group已经解散，无法获得更多有价值的信息。但我们观察到新兴的Quantum勒索软件似乎与Karakurt Group有着比较深的联系。

本文作为Operation mercenary的补充，重点介绍Karakurt Group在2022年的其他活动，相关IOC均已不活跃，仅供友商参考。

压缩包中为ISO文件，bat和dll文件设置了隐藏属性，诱导受害者点击名为documents的lnk文件

Lnk文件指向同目录下的bat脚本

攻击者早期投递的LNK文件出现了test字样，获取到了攻击者生成LNK文件时的路径，测试时间显示为2022年6月6日。

攻击者后期投递的Lnk文件如下，删除了相关调试信息。

Bat文件主要功能调用同目录下sta4m7om.dll的第一个导出函数

主要功能为混淆器，内存加载shellcode，第二阶段shellcode会判断样本运行环境对抗沙箱，最终内存加载IcedID

攻击者在内网中尝试攻击域控，并成功拿到域管的账号密码。之后利用域管账号密码向域控下其他机器执行powershell命令内存加载CS，但被天擎拦截

随后攻击者通过RDP登录到目标机器，将木马手动加入杀软白名单并执行，我们在天擎隔离区中发现了mimikatz等渗透工具，攻击者在内网漫游过程中一共使用了三个CobaltStrike的C2

攻击者在内网横向移动中使用的一个C2（fazehotafa.com）与境外友商DFIR^[2]最近发布的Quantum勒索报告中出现了重叠，值得一提的是在友商的报告中出现了另一个域名guteyutu.com，这两个域名与我们在2022年上半年监控到的Karakurt Group活动同源，鉴于Karakurt Group与老Conti之间的亲密关系，我们认为Karakurt Group已经深度参与到了Quantum勒索软件的投递过程中。

在Karakurt Group的其他活动中，我们观察到该团伙除了使用传统的CobaltStrike、msf、Anydesk外还了开源后门Gomet，作为CobaltStrike的备份保持对重点服务器的控制。

       尽管事件已经过去了大半年但其样本在VT上依然有着较高的免杀效果

       基于奇安信大数据平台关联，我们有中等程度以上的信心认为境外友商思科被入侵事件^[3]与Karakurt Group有关。

15dd0873cb6bef0c8e89a0319a202c3a

93787c6a5ba46605c0916be28ef52bf1

fac17fa9794d40d175becc4321f26c86

2db78a7e5bf1854ba24d29b0141e70f9

4dffb8cc2823b938bdd35506ec79b6bf

d037d22495a7f724ab619e736fd67def

d6ae42478de3e5d864a5d6358ca1ac48

3087bb457048fee050089a82c2671eaf

C2：

dullthingpur.com

toughflatlying.com

ettermangusta.com

wagringamuk.com

ebothlips.com

fazehotafa.com

111.90.146.218:8443

101.99.90.111:443

172.93.181.165:443

45.76.211.131:8888

141.164.50.109:8888

[2] https://thedfirreport.com/2023/04/03/malicious-iso-file-leads-to-domain-wide-ransomware/

[3]  https://blog.talosintelligence.com/recent-cyber-attack/