CostaRicto APT

CostaRicto és el nom que rep un grup de pirates informàtics que aparentment està operant com a mercenari i oferint els seus serveis de lloguer. Les seves activitats van ser detectades pels experts en infosec de BlackBerry, que van descobrir una àmplia campanya d'espionatge. Aquests grups de "pirates informàtics de lloguer" apareixen cada cop més a l'inframón de la ciberdelinqüència, ja que tenen capacitats i eines iguals als grups d'amenaça persistent avançada (APT) patrocinats per l'estat, però poden operar a nivell mundial en diversos sectors de la indústria. d'acord amb les necessitats dels seus clients.

CostaRicto utilitza un conjunt d'eines d'amenaces de programari maliciós personalitzades que van ser creades pels mateixos pirates informàtics o encarregades exclusivament. A la campanya de ciberespionatge, els pirates informàtics van desplegar dos tipus de carregador en funció de l'arquitectura de l'ordinador objectiu, una varietat única de programari maliciós de porta posterior anomenada SombRAT, HTTP i stagers de càrrega útil de DNS invers, un escàner de ports "nmap" i PsExec. Per als sistemes de 32 bits, els pirates informàtics utilitzen CostaBricks, un carregador personalitzat que implementa un mecanisme de màquina virtual que inicia un bytecode responsable de la descripció, la càrrega a la memòria i l'execució de la càrrega útil de programari maliciós. Si l'objectiu utilitza un sistema de 64 bits, CostaRicto desplega un carregador diferent: el mòdul d'injecció PE reflectant de PowerSploit.

La cadena d'atac comença, molt probablement, amb l'ús de les credencials recollides a través del phishing o simplement comprades a la web fosca. Després, CostaRicto va configurar el canal de comunicació amb la infraestructura de comandament i control (C&C, C2) de la campanya, gestionada a través de la xarxa TOR o un sistema de proxies. Per a la comunicació dins de la xarxa compromesa, es crea un sistema de túnels SSH. Determinats noms de domini que es troben codificats a les eines de programari maliciós de CostaRicto estan dissenyats per falsificar dominis legítims: el domini "sbidb.net" corrupte imita el domini del Banc Estatal de l'Índia de Bangla Desh, que és "sbidb.com". Un fet curiós que podria ser accidental és la reutilització per part de CostaRicto d'una adreça IP que s'ha observat en una campanya de pesca realitzada per un altre grup de pirates informàtics anteriorment: l'actor d'amenaça APT conegut com APT28 .

En ser un grup de pirates informàtics que ofereixen els seus serveis al client que paga més, les operacions de CostaRicto es poden localitzar fins a les víctimes de tot el món. S'han identificat objectius a la Xina, els EUA, Austràlia, Àustria, els Països Baixos, Singapur, França, l'Índia, Moçambic, Singapur i Portugal. L'únic patró que es podria suposar és una concentració lleugerament més alta de màquines compromeses a la regió del sud-asiàtic.