CostaRicto APT
A CostaRicto egy hackercsoport elnevezése, amely látszólag zsoldosként működik, és bérbeadásra kínálja szolgáltatásait. Tevékenységét a BlackBerry infosec-szakértői fedezték fel, akik széles körű kémkampányt tártak fel. Az ilyen „hacker-for hire” csoportok egyre gyakrabban jelennek meg a kiberbűnözés alvilágában, mivel olyan képességekkel és eszközökkel rendelkeznek, amelyek egyenrangúak az államilag támogatott Advanced Persistent Threat (APT) csoportokkal, de világszinten, több iparágban is működhetnek. ügyfeleik igényeinek megfelelően.
A CostaRicto egy olyan, testre szabott rosszindulatú fenyegetések eszközkészletét alkalmazza, amelyeket maguk a hackerek hoztak létre, vagy amelyeket kizárólagosan megbíztak. A kiberkémkedési kampányban a hackerek a megcélzott számítógép architektúrájától függően kétféle betöltőt telepítettek, a SombRAT-nak, HTTP-nek és a reverse-DNS payload stagersnek nevezett, hátsó ajtó rosszindulatú szoftvereinek egyedülálló törzsét, egy portszkennert, az „nmap”-et és a PsExec-et. A 32 bites rendszerek esetében a hackerek a CostaBricks-et használják – egy egyedi betöltőt, amely olyan virtuális gépi mechanizmust valósít meg, amely egy bájtkódot kezdeményez, amely felelős a kártevő hasznos terhelésének leírásáért, a memóriába való betöltéséért és végrehajtásáért. Ha a cél 64 bites rendszert használ, a CostaRicto egy másik betöltőt telepít – a PowerSploit tükröző PE befecskendezési modulját.
A támadási lánc valószínűleg az adathalászat során összegyűjtött vagy egyszerűen a sötét weben vásárolt hitelesítő adatok felhasználásával kezdődik. Ezután a CostaRicto beállította a kommunikációs csatornát a kampány Command-and-Control (C&C, C2) infrastruktúrájával, amelyet a TOR hálózaton vagy egy proxy rendszeren keresztül kezelnek. A kompromittált hálózaton belüli kommunikációhoz SSH-alagutak rendszere jön létre. Egyes domain nevek, amelyeket a CostaRicto rosszindulatú programjaiba kódoltak, a törvényes tartományok meghamisítására szolgálnak – a sérült „sbidb.net” tartomány az Indiai Banglades Állami Bank domainjét utánozza, amely az „sbidb.com”. Egy furcsa tény, amely véletlenül is előfordulhat, az, hogy a CostaRicto újrafelhasznál egy IP-címet, amelyet korábban egy másik hackercsoport – az APT28 néven ismert APT fenyegető szereplője – által folytatott adathalász kampányban figyeltek meg.
Mivel a CostaRicto hackerek egy csoportja, amely a legjobban fizető ügyfeleknek kínálja szolgáltatásait, a CostaRicto tevékenysége áldozatokra vezethető vissza szerte a világon. A célpontokat Kínában, az Egyesült Államokban, Ausztráliában, Ausztriában, Hollandiában, Szingapúrban, Franciaországban, Indiában, Mozambikban, Szingapúrban és Portugáliában azonosították. Az egyetlen feltételezhető minta a kompromittált gépek valamivel magasabb koncentrációja a dél-ázsiai régióban.
