CostaRicto APT

CostaRicto គឺ​ជា​ឈ្មោះ​ដែល​ត្រូវ​បាន​ផ្តល់​ឱ្យ​ទៅ​ក្រុម​ហេកឃ័រ​ដែល​ទំនង​ជា​ប្រតិបត្តិការ​ជា​ទាហាន​ស៊ីឈ្នួល​និង​ផ្តល់​សេវាកម្ម​ឱ្យ​ពួកគេ​ជួល។ សកម្មភាពរបស់វាត្រូវបានរកឃើញដោយអ្នកជំនាញ infosec នៅក្រុមហ៊ុន BlackBerry ដែលបានរកឃើញយុទ្ធនាការចារកម្មទូលំទូលាយ។ ក្រុម 'hackers-for-hire' បែបនេះកំពុងលេចឡើងកាន់តែច្រើននៅក្នុងពិភពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត ដោយសារពួកគេមានសមត្ថភាព និងឧបករណ៍ដូចគ្នាជាមួយនឹងក្រុម Advanced Persistent Threat (APT) ដែលឧបត្ថម្ភដោយរដ្ឋ ប៉ុន្តែអាចប្រតិបត្តិការលើកម្រិតទូទាំងពិភពលោកនៅទូទាំងវិស័យឧស្សាហកម្មជាច្រើន។ ស្របតាមតម្រូវការរបស់អតិថិជន។

CostaRicto ប្រើប្រាស់ឧបករណ៍នៃការគំរាមកំហែងមេរោគដែលបង្កើតឡើងដោយផ្ទាល់ខ្លួន ដែលត្រូវបានបង្កើតឡើងដោយពួក Hacker ខ្លួនឯង ឬត្រូវបានចាត់ចែងផ្តាច់មុខ។ នៅក្នុងយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិត ពួក Hacker បានដាក់ពង្រាយប្រភេទកម្មវិធីផ្ទុកទិន្នន័យពីរ អាស្រ័យលើស្ថាបត្យកម្មនៃកុំព្យូទ័រគោលដៅ ដែលជាប្រភេទមេរោគ backdoor តែមួយគត់ដែលហៅថា SombRAT, HTTP និង reverse-DNS payload stagers, port scanner 'nmap' និង PsExec ។ សម្រាប់ប្រព័ន្ធ 32 ប៊ីត ពួក Hacker ប្រើ CostaBricks - កម្មវិធីទាញយកផ្ទាល់ខ្លួនដែលអនុវត្តយន្តការម៉ាស៊ីននិម្មិតដែលផ្តួចផ្តើមកូដ bytecode ដែលទទួលខុសត្រូវចំពោះការពិពណ៌នា ផ្ទុកទៅក្នុងអង្គចងចាំ និងការប្រតិបត្តិនៃកម្មវិធីផ្ទុកមេរោគ។ ប្រសិនបើគោលដៅប្រើប្រាស់ប្រព័ន្ធ 64 ប៊ីត CostaRicto ដាក់ពង្រាយកម្មវិធីផ្ទុកផ្សេង - ម៉ូឌុលចាក់ PE ឆ្លុះបញ្ចាំងរបស់ PowerSploit ។

ខ្សែសង្វាក់វាយប្រហារចាប់ផ្តើមដោយ ភាគច្រើនទំនងជាការប្រើប្រាស់ព័ត៌មានសម្ងាត់ដែលប្រមូលបានតាមរយៈការបន្លំ ឬទិញតាមគេហទំព័រងងឹត។ បន្ទាប់មក CostaRicto រៀបចំបណ្តាញទំនាក់ទំនងជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C&C, C2) នៃយុទ្ធនាការ ដែលគ្រប់គ្រងតាមរយៈបណ្តាញ TOR ឬប្រព័ន្ធប្រូកស៊ី។ សម្រាប់ការទំនាក់ទំនងនៅក្នុងបណ្តាញដែលត្រូវបានសម្របសម្រួល ប្រព័ន្ធនៃផ្លូវរូងក្រោមដី SSH ត្រូវបានបង្កើតឡើង។ ឈ្មោះដែនមួយចំនួនដែលត្រូវបានរកឃើញថាត្រូវបាន hardcoded ចូលទៅក្នុងឧបករណ៍ malware របស់ CostaRicto ត្រូវបានរចនាឡើងដើម្បីក្លែងបន្លំដែនស្របច្បាប់ - ដែន 'sbidb.net' ដែលខូចនោះធ្វើត្រាប់តាមដែនរបស់ធនាគាររដ្ឋនៃប្រទេសឥណ្ឌាបង់ក្លាដែស ដែលជា 'sbidb.com' ។ ការចង់ដឹងចង់ឃើញដែលអាចកើតឡើងដោយចៃដន្យគឺ CostaRicto ប្រើឡើងវិញនូវអាសយដ្ឋាន IP ដែលត្រូវបានគេសង្កេតឃើញនៅក្នុងយុទ្ធនាការបន្លំដែលធ្វើឡើងដោយក្រុម hacker ផ្សេងទៀតពីមុន - តួអង្គគំរាមកំហែង APT ដែលគេស្គាល់ថា APT28 ។

ក្នុងនាមជាក្រុមហេគឃ័រដែលផ្តល់សេវាកម្មរបស់ពួកគេដល់អតិថិជនដែលបង់ប្រាក់ខ្ពស់បំផុត ប្រតិបត្តិការរបស់ CostaRicto អាចត្រូវបានតាមដានទៅកាន់ជនរងគ្រោះទូទាំងពិភពលោក។ គោលដៅត្រូវបានកំណត់អត្តសញ្ញាណនៅក្នុងប្រទេសចិន សហរដ្ឋអាមេរិក អូស្ត្រាលី អូទ្រីស ហូឡង់ សិង្ហបុរី បារាំង ឥណ្ឌា ម៉ូសំប៊ិក សិង្ហបុរី និងព័រទុយហ្គាល់។ គំរូតែមួយគត់ដែលអាចសន្និដ្ឋានបានគឺការប្រមូលផ្តុំម៉ាស៊ីនដែលមានការសម្របសម្រួលខ្ពស់ជាងបន្តិចនៅក្នុងតំបន់អាស៊ីខាងត្បូង។