CostaRicto APT

„CostaRicto“ yra įsilaužėlių grupės pavadinimas, kuris, matyt, veikia kaip samdinys ir siūlo išsinuomoti savo paslaugas. Jos veiklą aptiko BlackBerry infosec ekspertai, kurie atskleidė plataus masto šnipinėjimo kampaniją. Tokių samdomų įsilaužėlių grupių vis dažniau atsiranda kibernetinių nusikaltimų nusikalstamumo pasaulyje, nes jos turi pajėgumų ir įrankių, prilygstančių valstybės remiamoms pažangiosios nuolatinės grėsmės (APT) grupėms, tačiau gali veikti pasauliniu lygiu keliuose pramonės sektoriuose. pagal savo klientų poreikius.

„CostaRicto“ naudoja pagal užsakymą sukurtų kenkėjiškų programų grėsmių įrankių rinkinį, kurį sukūrė patys įsilaužėliai arba jie buvo išskirtinai užsakyti. Kibernetinio šnipinėjimo kampanijoje įsilaužėliai įdiegė dviejų tipų įkroviklius, atsižvelgdami į tikslinio kompiuterio architektūrą, unikalią užpakalinių durų kenkėjiškų programų atmainą, vadinamą SombRAT, HTTP ir atvirkštinės DNS naudingosios apkrovos etapais, prievado skaitytuvą „nmap“ ir „PsExec“. 32 bitų sistemoms įsilaužėliai naudoja CostaBricks – tinkintą įkroviklį, kuris įdiegia virtualios mašinos mechanizmą, kuris inicijuoja baitų kodą, atsakingą už aprašą, įkėlimą į atmintį ir kenkėjiškų programų naudingosios apkrovos vykdymą. Jei taikinys naudoja 64 bitų sistemą, „CostaRicto“ diegia kitą įkroviklį – „PowerSploit“ atspindintį PE įpurškimo modulį.

Atakos grandinė prasideda, greičiausiai, naudojant surinktus kredencialus, surinktus sukčiaujant arba tiesiog nupirkus tamsiajame žiniatinklyje. Tada „CostaRicto“ nustatė komunikacijos kanalą su kampanijos „Command-and-Control“ (C&C, C2) infrastruktūra, valdoma per TOR tinklą arba tarpinių serverių sistemą. Ryšiui pažeistame tinkle sukuriama SSH tunelių sistema. Tam tikri domenų vardai, kurie, kaip nustatyta, yra užkoduoti į CostaRicto kenkėjiškų programų įrankius, yra skirti apgaudinėti teisėtus domenus – sugadintas domenas „sbidb.net“ imituoja Indijos Bangladešo valstijos banko domeną, kuris yra „sbidb.com“. Įdomus faktas, kuris gali būti atsitiktinis, yra tai, kad CostaRicto pakartotinai naudoja IP adresą, kuris buvo pastebėtas sukčiavimo kampanijoje, kurią anksčiau vykdė kita įsilaužėlių grupė – APT grėsmės veikėjas, žinomas kaip APT28 .

Kadangi „CostaRicto“ yra įsilaužėlių grupė, siūlanti savo paslaugas daugiausiai uždirbantiems klientams, „CostaRicto“ veiklą galima atsekti iki aukų visame pasaulyje. Taikiniai buvo nustatyti Kinijoje, JAV, Australijoje, Austrijoje, Nyderlanduose, Singapūre, Prancūzijoje, Indijoje, Mozambike, Singapūre ir Portugalijoje. Vienintelis modelis, kurį galima numanyti, yra šiek tiek didesnė pažeistų mašinų koncentracija Pietų Azijos regione.