CostaRicto APT

CostaRicto نامی است که به یک گروه هکری داده شده است که ظاهراً به عنوان یک مزدور فعالیت می کند و خدمات خود را به صورت اجاره ای ارائه می دهد. فعالیت های آن توسط کارشناسان infosec در بلک بری شناسایی شد که یک کمپین جاسوسی گسترده را کشف کردند. چنین گروه‌های «هکر برای استخدام» بیشتر و بیشتر در دنیای زیرزمینی جرایم سایبری ظاهر می‌شوند، زیرا دارای قابلیت‌ها و ابزارهایی همتراز با گروه‌های تهدید دائمی پیشرفته (APT) هستند، اما می‌توانند در سطح جهانی در بخش‌های مختلف صنعت فعالیت کنند. مطابق با نیاز مشتریان خود.

CostaRicto از مجموعه ابزاری از تهدیدات بدافزارهای سفارشی ساخته شده استفاده می کند که یا توسط خود هکرها ایجاد شده اند یا به طور انحصاری سفارش داده شده اند. در کمپین جاسوسی سایبری، هکرها بسته به معماری رایانه مورد نظر، دو نوع لودر، یک نوع منحصر به فرد بدافزار در پشتی به نام SombRAT، HTTP، و مرحله‌های بارگذاری معکوس DNS، اسکنر پورت «nmap» و PsExec را مستقر کردند. برای سیستم‌های 32 بیتی، هکرها از CostaBricks استفاده می‌کنند - یک لودر سفارشی که مکانیزم ماشین مجازی را پیاده‌سازی می‌کند که یک بایت کد مسئول توضیحات، بارگذاری در حافظه و اجرای بار بدافزار را آغاز می‌کند. اگر هدف از یک سیستم 64 بیتی استفاده می کند، CostaRicto یک لودر متفاوت را مستقر می کند - ماژول تزریق PE بازتابنده PowerSploit.

به احتمال زیاد، زنجیره حمله با استفاده از اعتبار جمع آوری شده از طریق فیشینگ یا به سادگی خریداری شده در وب تاریک آغاز می شود. سپس، CostaRicto کانال ارتباطی را با زیرساخت Command-and-Control (C&C, C2) کمپین راه‌اندازی کرد که از طریق شبکه TOR یا یک سیستم پراکسی مدیریت می‌شود. برای ارتباط در داخل شبکه در معرض خطر، سیستمی از تونل های SSH ایجاد می شود. برخی از نام‌های دامنه مشخص شده که در ابزارهای بدافزار CostaRicto کدگذاری شده‌اند، برای جعل دامنه‌های قانونی طراحی شده‌اند - دامنه خراب «sbidb.net» از دامنه بانک دولتی هند بنگلادش، که «sbidb.com» است، تقلید می‌کند. یک واقعیت عجیب که می‌تواند تصادفی باشد، استفاده مجدد CostaRicto از یک آدرس IP است که در یک کمپین فیشینگ که قبلا توسط یک گروه هکر دیگر - عامل تهدید APT معروف به APT28 انجام شده بود، مشاهده شده است.

به عنوان گروهی از هکرها که خدمات خود را به مشتری با بالاترین درآمد ارائه می دهند، می توان عملیات CostaRicto را به قربانیان در سراسر جهان ردیابی کرد. اهداف در چین، ایالات متحده، استرالیا، اتریش، هلند، سنگاپور، فرانسه، هند، موزامبیک، سنگاپور و پرتغال شناسایی شده است. تنها الگویی که می توان حدس زد، غلظت کمی بیشتر از ماشین های آسیب دیده در منطقه جنوب آسیا است.