CostaRicto APT

CostaRicto è il nome dato a un gruppo di hacker che apparentemente sta operando come mercenario e offrendo i propri servizi a noleggio. Le sue attività sono state rilevate dagli esperti di infosec di BlackBerry, che hanno scoperto una campagna di spionaggio ad ampio raggio. Questi gruppi di "hacker su commissione'' stanno comparendo sempre di più nel mondo della criminalità informatica poiché possiedono capacità e strumenti alla pari dei gruppi APT (Advanced Persistent Threat) sponsorizzati dallo stato, ma possono operare a livello mondiale in più settori industriali secondo le esigenze dei propri clienti.

CostaRicto utilizza un set di strumenti di minacce malware personalizzate che sono state create dagli stessi hacker o commissionate esclusivamente. Nella campagna di spionaggio informatico, gli hacker hanno implementato due tipi di caricatori a seconda dell'architettura del computer preso di mira, un ceppo unico di malware backdoor chiamato SombRAT, HTTP e payload stagers di DNS inverso, uno scanner di porte "nmap" e PsExec. Per i sistemi a 32 bit, gli hacker utilizzano CostaBricks, un caricatore personalizzato che implementa un meccanismo della macchina virtuale che avvia un bytecode responsabile della descrizione, del caricamento in memoria e dell'esecuzione del payload del malware. Se il target utilizza un sistema a 64 bit, CostaRicto utilizza un caricatore diverso: il modulo di iniezione PE riflettente di PowerSploit.

La catena di attacchi inizia, molto probabilmente, con l'uso delle credenziali raccolte raccolte tramite phishing o semplicemente acquistate sul dark web. CostaRicto ha quindi impostato il canale di comunicazione con l'infrastruttura Command-and-Control (C&C, C2) della campagna, gestita attraverso la rete TOR o un sistema di proxy. Per la comunicazione all'interno della rete compromessa, viene creato un sistema di tunnel SSH. Alcuni nomi di dominio trovati per essere codificati negli strumenti malware di CostaRicto sono progettati per falsificare domini legittimi: il dominio "sbidb.net" corrotto imita il dominio della State Bank of India Bangladesh, che è "sbidb.com". Un fatto curioso che potrebbe essere accidentale è il riutilizzo da parte di CostaRicto di un indirizzo IP che è stato osservato in una campagna di phishing condotta in precedenza da un altro gruppo di hacker, l'attore di minacce APT noto come APT28.

Essendo un gruppo di hacker che offre i propri servizi al cliente più pagante, le operazioni di CostaRicto possono essere ricondotte alle vittime in tutto il mondo. Sono stati individuati obiettivi in Cina, Stati Uniti, Australia, Austria, Paesi Bassi, Singapore, Francia, India, Mozambico, Singapore e Portogallo. L'unico modello che potrebbe essere ipotizzato è una concentrazione leggermente maggiore di macchine compromesse nella regione dell'Asia meridionale.

Tendenza

I più visti

Caricamento in corso...