CostaRicto APT

CostaRicto je jméno dané hackerské skupině, která zjevně funguje jako žoldák a nabízí své služby k pronájmu. Její aktivity odhalili experti na infosec z BlackBerry, kteří odhalili rozsáhlou špionážní kampaň. Takové skupiny „hackeři na pronájem“ se v podsvětí kyberzločinu objevují stále více, protože mají schopnosti a nástroje na stejné úrovni jako státem sponzorované skupiny Advanced Persistent Threat (APT), ale mohou působit na celosvětové úrovni v různých průmyslových odvětvích. v souladu s potřebami jejich klientů.

CostaRicto využívá sadu nástrojů na míru vytvořených malwarových hrozeb, které byly buď vytvořeny samotnými hackery, nebo byly objednány výhradně. V kampani kybernetické špionáže hackeři nasadili dva typy zavaděčů v závislosti na architektuře cílového počítače, unikátní kmen backdoor malwaru zvaný SombRAT, HTTP a reverzní DNS stagery, skener portů „nmap“ a PsExec. Pro 32bitové systémy hackeři používají CostaBricks - vlastní zavaděč, který implementuje mechanismus virtuálního stroje, který spouští bajtový kód zodpovědný za popis, načítání do paměti a provádění užitečného zatížení malwaru. Pokud cíl používá 64bitový systém, CostaRicto nasadí jiný zavaděč – reflexní modul PE vstřikování PowerSploit.

Útokový řetězec začíná s největší pravděpodobností použitím shromážděných přihlašovacích údajů získaných prostřednictvím phishingu nebo jednoduše zakoupených na temném webu. Poté CostaRicto nastavilo komunikační kanál s infrastrukturou Command-and-Control (C&C, C2) kampaně spravovanou prostřednictvím sítě TOR nebo systému proxy. Pro komunikaci v rámci kompromitované sítě je vytvořen systém SSH tunelů. Některá doménová jména, u kterých bylo zjištěno, že jsou napevno zakódována do malwarových nástrojů CostaRicto, jsou navržena tak, aby podvrhly legitimní domény – poškozená doména „sbidb.net“ napodobuje doménu Státní banky Indie Bangladéš, která je „sbidb.com“. Zajímavým faktem, který by mohl být náhodný, je opětovné použití IP adresy společností CostaRicto, které bylo pozorováno v phishingové kampani, kterou dříve vedla jiná hackerská skupina – aktér hrozeb APT známý jako APT28 .

Jako skupina hackerů, kteří nabízejí své služby nejlépe platícím klientům, lze operace CostaRicto vysledovat k obětem po celém světě. Cíle byly identifikovány v Číně, USA, Austrálii, Rakousku, Nizozemsku, Singapuru, Francii, Indii, Mosambiku, Singapuru a Portugalsku. Jediným vzorem, který lze předpokládat, je mírně vyšší koncentrace napadených strojů v jihoasijském regionu.