CostaRicto APT
CostaRicto एक हैकर समूह को दिया गया नाम है जो स्पष्ट रूप से एक भाड़े के रूप में काम कर रहा है और किराए पर अपनी सेवाएं दे रहा है। इसकी गतिविधियों का पता ब्लैकबेरी के इन्फोसेक विशेषज्ञों ने लगाया, जिन्होंने एक विस्तृत रेंज के जासूसी अभियान का खुलासा किया। ऐसे 'हैकर्स-फॉर-हायर' समूह साइबर क्राइम अंडरवर्ल्ड में अधिक से अधिक दिखाई दे रहे हैं क्योंकि उनके पास राज्य-प्रायोजित एडवांस्ड पर्सिस्टेंट थ्रेट (APT) समूहों के बराबर क्षमताएं और उपकरण हैं, लेकिन कई उद्योग क्षेत्रों में विश्वव्यापी स्तर पर काम कर सकते हैं। अपने ग्राहकों की जरूरतों के अनुसार।
CostaRicto कस्टम-निर्मित मैलवेयर खतरों का एक टूलसेट नियोजित करता है जो या तो हैकर्स द्वारा स्वयं बनाए गए थे या विशेष रूप से कमीशन किए गए थे। साइबर-जासूसी अभियान में, हैकर्स ने लक्षित कंप्यूटर की वास्तुकला के आधार पर दो लोडर प्रकारों को तैनात किया, पिछले दरवाजे के मैलवेयर का एक अनूठा स्ट्रेन, जिसे सोम्ब्रैट, एचटीटीपी, और रिवर्स-डीएनएस पेलोड स्टैगर, एक पोर्ट स्कैनर 'एनमैप,' और पीएसएक्सईसी कहा जाता है। 32-बिट सिस्टम के लिए, हैकर्स कोस्टाब्रिक्स का उपयोग करते हैं - एक कस्टम लोडर जो वर्चुअल मशीन तंत्र को लागू करता है जो विवरण के लिए जिम्मेदार बाइटकोड शुरू करता है, मेमोरी में लोड हो रहा है, और मैलवेयर पेलोड का निष्पादन करता है। यदि लक्ष्य 64-बिट सिस्टम का उपयोग करता है, तो CostaRicto एक अलग लोडर - PowerSploit के चिंतनशील PE इंजेक्शन मॉड्यूल को तैनात करता है।
हमले की श्रृंखला सबसे अधिक संभावना के साथ शुरू होती है, फ़िशिंग के माध्यम से एकत्र किए गए क्रेडेंशियल्स का उपयोग या केवल डार्क वेब पर खरीदा जाता है। फिर, CostaRicto ने अभियान के कमांड-एंड-कंट्रोल (C&C, C2) इंफ्रास्ट्रक्चर के साथ संचार चैनल स्थापित किया, जिसे टीओआर नेटवर्क या प्रॉक्सी सिस्टम के माध्यम से प्रबंधित किया गया। समझौता किए गए नेटवर्क के भीतर संचार के लिए, SSH सुरंगों की एक प्रणाली बनाई जाती है। कोस्टा रिक्टो के मैलवेयर टूल में हार्डकोड किए गए कुछ डोमेन नाम वैध डोमेन को धोखा देने के लिए डिज़ाइन किए गए हैं - दूषित 'sbidb.net' डोमेन भारतीय स्टेट बैंक बांग्लादेश के डोमेन की नकल करता है, जो 'sbidb.com' है। एक जिज्ञासु तथ्य जो आकस्मिक हो सकता है, वह है कोस्टा रिक्टो द्वारा एक आईपी पते का पुन: उपयोग करना जिसे पहले एक अन्य हैकर समूह द्वारा संचालित फ़िशिंग अभियान में देखा गया है - एपीटी खतरा अभिनेता जिसे APT28 के रूप में जाना जाता है।
हैकर्स का एक समूह होने के नाते जो सबसे अधिक भुगतान करने वाले क्लाइंट को अपनी सेवाएं प्रदान करते हैं, कोस्टा रिक्टो के संचालन को दुनिया भर में पीड़ितों के लिए खोजा जा सकता है। चीन, अमेरिका, ऑस्ट्रेलिया, ऑस्ट्रिया, नीदरलैंड, सिंगापुर, फ्रांस, भारत, मोजाम्बिक, सिंगापुर और पुर्तगाल में लक्ष्यों की पहचान की गई है। एकमात्र पैटर्न जिसका अनुमान लगाया जा सकता है वह दक्षिण-एशियाई क्षेत्र में समझौता मशीनों की थोड़ी अधिक सांद्रता है।
