CostaRicto APT

CostaRicto е името, дадено на хакерска група, която очевидно работи като наемник и предлага услугите си под наем. Дейностите му бяха засечени от експертите по инфосек в BlackBerry, които разкриха широкообхватна шпионска кампания. Такива групи „хакери за наемане“ се появяват все повече и повече в подземния свят на киберпрестъпленията, тъй като притежават възможности и инструменти наравно с спонсорираните от държавата групи за напреднали постоянни заплахи (APT), но могат да работят на световно ниво в множество индустриални сектори в съответствие с нуждите на своите клиенти.

CostaRicto използва набор от инструменти от персонализирани заплахи за злонамерен софтуер, които или са създадени от самите хакери, или са поръчани изключително. В кампанията за кибершпионаж хакерите внедриха два типа зареждане в зависимост от архитектурата на целевия компютър, уникален вид бекдор злонамерен софтуер, наречен SombRAT, HTTP и реверсивни DNS щайдери на полезен товар, скенер за портове „nmap“ и PsExec. За 32-битови системи хакерите използват CostaBricks - персонализиран зареждане, който внедрява механизъм на виртуална машина, който инициира байткод, отговорен за описанието, зареждането в паметта и изпълнението на полезния товар на зловреден софтуер. Ако целта използва 64-битова система, CostaRicto внедрява различен зареждане - отразяващ PE модул за инжектиране на PowerSploit.

Веригата за атака започва най-вероятно с използването на събрани идентификационни данни, събрани чрез фишинг или просто закупени в тъмната мрежа. След това CostaRicto настрои комуникационния канал с инфраструктурата за командване и контрол (C&C, C2) на кампанията, управлявана чрез мрежата TOR или прокси система. За комуникация в компрометираната мрежа се създава система от SSH тунели. Определени имена на домейни, за които е установено, че са твърдо кодирани в инструментите за злонамерен софтуер на CostaRicto, са предназначени да измамят легитимни домейни – повреденият домейн „sbidb.net“ имитира домейна на Държавната банка на Индия Бангладеш, който е „sbidb.com“. Любопитен факт, който може да бъде случаен, е повторното използване от CostaRicto на IP адрес, който е бил наблюдаван при фишинг кампания, проведена от друга хакерска група преди това - заплахата на APT, известна като APT28 .

Като група от хакери, които предлагат услугите си на най-високоплатещия клиент, операциите на CostaRicto могат да бъдат проследени до жертви по целия свят. Цели са идентифицирани в Китай, САЩ, Австралия, Австрия, Холандия, Сингапур, Франция, Индия, Мозамбик, Сингапур и Португалия. Единственият модел, който може да се предположи, е малко по-висока концентрация на компрометирани машини в южноазиатския регион.