CostaRicto APT

CostaRicto er navnet på en hackergruppe, der tilsyneladende fungerer som lejesoldat og tilbyder deres tjenester til leje. Dens aktiviteter blev opdaget af infosec-eksperterne på BlackBerry, der afslørede en bred spændingskampagne. Sådanne 'hackere-til-leje'-grupper vises mere og mere i cyberkriminalitet underverdenen, da de besidder kapaciteter og værktøjer på niveau med statsstøttede Advanced Persistent Threat (APT) -grupper, men kan operere på verdensplan på tværs af flere industrisektorer i overensstemmelse med deres kunders behov.

CostaRicto anvender et værktøjssæt med specialbyggede malware-trusler, der enten blev oprettet af hackerne selv eller blev bestilt udelukkende. I cyberspionagekampagnen indsatte hackerne to typer loader afhængigt af arkitekturen på den målrettede computer, en unik stamme af bagdør malware kaldet SombRAT, HTTP og reverse-DNS-nyttelaststagers, en havnescanner 'nmap' og PsExec. Til 32-bit-systemer bruger hackerne CostaBricks - en brugerdefineret loader, der implementerer en mekanisme til virtuel maskine, der initierer en bytekode, der er ansvarlig for beskrivelsen, indlæsning i hukommelse og udførelse af malware-nyttelasten. Hvis målet bruger et 64-bit system, installerer CostaRicto en anden læsser - PowerSploits reflekterende PE-injektionsmodul.

Angrebskæden begynder med sandsynligvis brugen af indsamlede legitimationsoplysninger indsamlet via phishing eller simpelthen købt på det mørke web. Derefter oprettede CostaRicto kommunikationskanalen med Command-and-Control (C&C, C2) -infrastrukturen i kampagnen, styret gennem TOR-netværket eller et proxysystem. Til kommunikation inden for det kompromitterede netværk oprettes et system med SSH-tunneller. Visse domænenavne, der viser sig at være hårdkodet i CostaRictos malware-værktøjer, er designet til at falske legitime domæner - det beskadigede 'sbidb.net' domæne efterligner domænet for State Bank of India Bangladesh, som er 'sbidb.com.' En underlig kendsgerning, der kan være utilsigtet, er CostaRictos genbrug af en IP-adresse, der er blevet observeret i en phishing-kampagne, der tidligere blev udført af en anden hackergruppe - APT-trusselsaktøren kendt som APT28.

At være en gruppe hackere, der tilbyder deres tjenester til den højest betalende klient, kan CostaRictos operationer spores til ofre over hele verden. Mål er blevet identificeret i Kina, USA, Australien, Østrig, Holland, Singapore, Frankrig, Indien, Mozambique, Singapore og Portugal. Det eneste mønster, der kunne formodes, er en lidt højere koncentration af kompromitterede maskiner i den sydasiatiske region.