CostaRicto APT

CostaRicto ir vārds, kas dots hakeru grupai, kas acīmredzot darbojas kā algotnis un piedāvā savus pakalpojumus īrēšanai. Tās darbības atklāja BlackBerry infosec eksperti, kuri atklāja plaša spektra spiegošanas kampaņu. Šādas “nomāto hakeru” grupas arvien vairāk parādās kibernoziedzības pazemes pasaulē, jo tām ir iespējas un rīki, kas ir līdzvērtīgi valsts sponsorētajām Advanced Persistent Threat (APT) grupām, taču tās var darboties pasaules līmenī vairākās nozares nozarēs. atbilstoši savu klientu vajadzībām.

CostaRicto izmanto pielāgotu ļaunprogrammatūras draudu rīku kopu, ko radījuši paši hakeri vai kas tika pasūtīti tikai. Kiberspiegošanas kampaņā hakeri izvietoja divus ielādētāju veidus atkarībā no mērķa datora arhitektūras — unikālu aizmugures ļaunprātīgas programmatūras celmu, ko sauc par SombRAT, HTTP un reversās DNS lietderīgās slodzes pakāpēm, portu skeneri “nmap” un PsExec. 32 bitu sistēmām hakeri izmanto CostaBricks — pielāgotu ielādētāju, kas ievieš virtuālās mašīnas mehānismu, kas iniciē baitkodu, kas atbild par aprakstu, ielādi atmiņā un ļaunprātīgas programmatūras slodzes izpildi. Ja mērķis izmanto 64 bitu sistēmu, CostaRicto izvieto citu ielādētāju — PowerSploit atstarojošo PE injekcijas moduli.

Uzbrukuma ķēde, visticamāk, sākas ar savākto akreditācijas datu izmantošanu, kas savākti pikšķerēšanas ceļā vai vienkārši iegādāti tumšajā tīmeklī. Pēc tam CostaRicto izveidoja saziņas kanālu ar kampaņas Command-and-Control (C&C, C2) infrastruktūru, ko pārvalda, izmantojot TOR tīklu vai starpniekserveru sistēmu. Komunikācijai apdraudētajā tīklā tiek izveidota SSH tuneļu sistēma. Daži domēnu nosaukumi, kas ir iekodēti CostaRicto ļaunprātīgas programmatūras rīkos, ir paredzēti likumīgu domēnu viltošanai — bojātais domēns “sbidb.net” atdarina Indijas Bangladešas Valsts bankas domēnu, kas ir “sbidb.com”. Interesants fakts, kas varētu būt nejaušs, ir CostaRicto atkārtota IP adreses izmantošana, kas tika novērota pikšķerēšanas kampaņā, ko iepriekš veica cita hakeru grupa — APT draudu aktieris, kas pazīstams kā APT28 .

Tā kā CostaRicto ir hakeru grupa, kas piedāvā savus pakalpojumus vislabāk maksājošajiem klientiem, CostaRicto darbību var izsekot upuriem visā pasaulē. Mērķi ir identificēti Ķīnā, ASV, Austrālijā, Austrijā, Nīderlandē, Singapūrā, Francijā, Indijā, Mozambikā, Singapūrā un Portugālē. Vienīgais modelis, ko varētu pieņemt, ir nedaudz lielāka apdraudēto iekārtu koncentrācija Dienvidāzijas reģionā.