CostaRicto APT

CostaRicto er navnet gitt til en hackergruppe som tilsynelatende opererer som leiesoldat og tilbyr sine tjenester for utleie. Aktivitetene ble oppdaget av infosec-ekspertene hos BlackBerry, som avdekket en bred spionkampanje. Slike "hackere-for-hire"-grupper dukker opp mer og mer i cyberkriminalitetens underverden ettersom de har evner og verktøy på linje med statsstøttede Advanced Persistent Threat-grupper (APT), men kan operere på verdensomspennende nivå på tvers av flere industrisektorer i samsvar med kundenes behov.

CostaRicto bruker et verktøysett med skreddersydde trusler mot skadelig programvare som enten ble skapt av hackerne selv eller som ble bestilt eksklusivt. I cyberspionasjekampanjen distribuerte hackerne to loader-typer avhengig av arkitekturen til den målrettede datamaskinen, en unik stamme av bakdør-malware kalt SombRAT, HTTP og reverse-DNS-nyttelast-stagers, en portskanner 'nmap' og PsExec. For 32-biters systemer bruker hackerne CostaBricks – en tilpasset laster som implementerer en virtuell maskinmekanisme som starter en bytekode som er ansvarlig for beskrivelsen, lasting i minnet og utførelse av skadevarenyttelasten. Hvis målet bruker et 64-bitssystem, distribuerer CostaRicto en annen laster - PowerSploits reflekterende PE-injeksjonsmodul.

Angrepskjeden begynner med, mest sannsynlig, bruk av innsamlet legitimasjon samlet gjennom phishing eller rett og slett kjøpt på det mørke nettet. Deretter satte CostaRicto opp kommunikasjonskanalen med Command-and-Control (C&C, C2)-infrastrukturen til kampanjen, administrert gjennom TOR-nettverket eller et proxy-system. For kommunikasjon innenfor det kompromitterte nettverket opprettes et system med SSH-tunneler. Enkelte domenenavn som er funnet å være hardkodet inn i skadevareverktøyene til CostaRicto er utformet for å forfalske legitime domener – det korrupte 'sbidb.net'-domenet etterligner domenet til State Bank of India Bangladesh, som er 'sbidb.com.' Et merkelig faktum som kan være tilfeldig er CostaRictos gjenbruk av en IP-adresse som har blitt observert i en phishing-kampanje utført av en annen hackergruppe tidligere - APT-trusselsaktøren kjent som APT28 .

Som en gruppe hackere som tilbyr sine tjenester til den best betalende klienten, kan CostaRictos operasjoner spores til ofre over hele verden. Mål er identifisert i Kina, USA, Australia, Østerrike, Nederland, Singapore, Frankrike, India, Mosambik, Singapore og Portugal. Det eneste mønsteret som kan antas er en litt høyere konsentrasjon av kompromitterte maskiner i den sørasiatiske regionen.