CostaRicto APT
CostaRicto نامی است که به یک گروه هکری داده شده است که ظاهراً به عنوان یک مزدور فعالیت می کند و خدمات خود را به صورت اجاره ای ارائه می دهد. فعالیت های آن توسط کارشناسان infosec در بلک بری شناسایی شد که یک کمپین جاسوسی گسترده را کشف کردند. چنین گروههای «هکر برای استخدام» بیشتر و بیشتر در دنیای زیرزمینی جرایم سایبری ظاهر میشوند، زیرا دارای قابلیتها و ابزارهایی همتراز با گروههای تهدید دائمی پیشرفته (APT) هستند، اما میتوانند در سطح جهانی در بخشهای مختلف صنعت فعالیت کنند. مطابق با نیاز مشتریان خود.
CostaRicto از مجموعه ابزاری از تهدیدات بدافزارهای سفارشی ساخته شده استفاده می کند که یا توسط خود هکرها ایجاد شده اند یا به طور انحصاری سفارش داده شده اند. در کمپین جاسوسی سایبری، هکرها بسته به معماری رایانه مورد نظر، دو نوع لودر، یک نوع منحصر به فرد بدافزار در پشتی به نام SombRAT، HTTP، و مرحلههای بارگذاری معکوس DNS، اسکنر پورت «nmap» و PsExec را مستقر کردند. برای سیستمهای 32 بیتی، هکرها از CostaBricks استفاده میکنند - یک لودر سفارشی که مکانیزم ماشین مجازی را پیادهسازی میکند که یک بایت کد مسئول توضیحات، بارگذاری در حافظه و اجرای بار بدافزار را آغاز میکند. اگر هدف از یک سیستم 64 بیتی استفاده می کند، CostaRicto یک لودر متفاوت را مستقر می کند - ماژول تزریق PE بازتابنده PowerSploit.
به احتمال زیاد، زنجیره حمله با استفاده از اعتبار جمع آوری شده از طریق فیشینگ یا به سادگی خریداری شده در وب تاریک آغاز می شود. سپس، CostaRicto کانال ارتباطی را با زیرساخت Command-and-Control (C&C, C2) کمپین راهاندازی کرد که از طریق شبکه TOR یا یک سیستم پراکسی مدیریت میشود. برای ارتباط در داخل شبکه در معرض خطر، سیستمی از تونل های SSH ایجاد می شود. برخی از نامهای دامنه مشخص شده که در ابزارهای بدافزار CostaRicto کدگذاری شدهاند، برای جعل دامنههای قانونی طراحی شدهاند - دامنه خراب «sbidb.net» از دامنه بانک دولتی هند بنگلادش، که «sbidb.com» است، تقلید میکند. یک واقعیت عجیب که میتواند تصادفی باشد، استفاده مجدد CostaRicto از یک آدرس IP است که در یک کمپین فیشینگ که قبلا توسط یک گروه هکر دیگر - عامل تهدید APT معروف به APT28 انجام شده بود، مشاهده شده است.
به عنوان گروهی از هکرها که خدمات خود را به مشتری با بالاترین درآمد ارائه می دهند، می توان عملیات CostaRicto را به قربانیان در سراسر جهان ردیابی کرد. اهداف در چین، ایالات متحده، استرالیا، اتریش، هلند، سنگاپور، فرانسه، هند، موزامبیک، سنگاپور و پرتغال شناسایی شده است. تنها الگویی که می توان حدس زد، غلظت کمی بیشتر از ماشین های آسیب دیده در منطقه جنوب آسیا است.