코스타리토 APT

CostaRicto는 용병으로 운영되고 고용을 위해 서비스를 제공하는 해커 그룹에 주어진 이름입니다. 그 활동은 광범위한 스파이 활동을 적발한 BlackBerry의 정보 보안 전문가에 의해 탐지되었습니다. 이러한 '고용 해커' 그룹은 국가가 후원하는 APT(Advanced Persistent Threat) 그룹과 동등한 기능과 도구를 보유하고 있지만 여러 산업 분야에 걸쳐 전 세계적인 수준에서 활동할 수 있기 때문에 사이버 범죄 세계에서 점점 더 많이 나타나고 있습니다. 고객의 요구에 따라.

CostaRicto는 해커가 직접 생성했거나 독점적으로 의뢰한 맞춤형 맬웨어 위협 도구 세트를 사용합니다. 사이버 스파이 활동에서 해커는 대상 컴퓨터의 아키텍처에 따라 두 가지 로더 유형인 SombRAT, HTTP 및 역방향 DNS 페이로드 스테이저, 포트 스캐너 'nmap' 및 PsExec이라는 고유한 백도어 멀웨어 변종을 배포했습니다. 32비트 시스템의 경우 해커는 설명, 메모리로의 로딩, 악성코드 페이로드 실행을 담당하는 바이트코드를 시작하는 가상 머신 메커니즘을 구현하는 맞춤형 로더인 CostaBricks를 사용합니다. 대상이 64비트 시스템을 사용하는 경우 CostaRicto는 PowerSploit의 반사형 PE 주입 모듈인 다른 로더를 배포합니다.

공격 체인은 대부분 피싱을 통해 수집되거나 단순히 다크 웹에서 구매한 수집된 자격 증명의 사용으로 시작됩니다. 그런 다음 CostaRicto는 TOR 네트워크 또는 프록시 시스템을 통해 관리되는 캠페인의 명령 및 제어(C&C, C2) 인프라와 통신 채널을 설정했습니다. 손상된 네트워크 내 통신을 위해 SSH 터널 시스템이 생성됩니다. CostaRicto의 맬웨어 도구에 하드코딩된 특정 도메인 이름은 합법적인 도메인을 스푸핑하도록 설계되었습니다. 손상된 'sbidb.net' 도메인은 'sbidb.com'인 방글라데시 인도 중앙 은행의 도메인을 모방합니다. 우발적일 수 있는 흥미로운 사실은 이전에 다른 해커 그룹인 APT28로 알려진 APT 위협 행위자가 수행한 피싱 캠페인에서 관찰된 CostaRicto의 IP 주소 재사용입니다 .

가장 높은 비용을 지불하는 고객에게 서비스를 제공하는 해커 그룹인 CostaRicto는 전 세계의 피해자를 추적할 수 있습니다. 목표는 중국, 미국, 호주, 오스트리아, 네덜란드, 싱가포르, 프랑스, 인도, 모잠비크, 싱가포르 및 포르투갈에서 확인되었습니다. 추측할 수 있는 유일한 패턴은 남아시아 지역의 손상된 시스템이 약간 더 집중되어 있다는 것입니다.