CostaRicto APT

CostaRicto एक ह्याकर समूहलाई दिइएको नाम हो जुन स्पष्ट रूपमा भाडामा काम गरिरहेको छ र भाडामा तिनीहरूको सेवाहरू प्रदान गर्दछ। यसको गतिविधिहरू ब्ल्याकबेरीका इन्फोसेक विशेषज्ञहरूले पत्ता लगाएका थिए, जसले व्यापक दायराको जासुसी अभियानको पर्दाफास गरे। त्यस्ता 'ह्याकर-फर-हायर' समूहहरू साइबर क्राइम अन्डरवर्ल्डमा अधिक र अधिक देखिन थालेका छन् किनभने तिनीहरूसँग राज्य-प्रायोजित एडभान्स्ड पर्सिस्टेन्ट थ्रेट (एपीटी) समूहहरू जस्तै क्षमता र उपकरणहरू छन् तर धेरै उद्योग क्षेत्रहरूमा विश्वव्यापी स्तरमा काम गर्न सक्छन्। आफ्नो ग्राहकहरु को आवश्यकता अनुसार।

CostaRicto ले कस्टम-निर्मित मालवेयर खतराहरूको टुलसेट प्रयोग गर्दछ जुन या त ह्याकरहरू आफैले सिर्जना गरेका थिए वा विशेष रूपमा कमिसन गरिएको थियो। साइबर-जासुसी अभियानमा, ह्याकरहरूले लक्षित कम्प्युटरको वास्तुकलाको आधारमा दुई लोडर प्रकारहरू प्रयोग गरे, SombRAT, HTTP, र रिभर्स-DNS पेलोड स्टेजर्स, पोर्ट स्क्यानर 'nmap,' र PsExec भनिने ब्याकडोर मालवेयरको एक अद्वितीय स्ट्रेन। 32-बिट प्रणालीहरूको लागि, ह्याकरहरूले CostaBricks प्रयोग गर्छन् - एउटा कस्टम लोडर जसले भर्चुअल मेसिन मेकानिजम लागू गर्दछ जसले वर्णनको लागि जिम्मेवार बाइटकोड सुरु गर्दछ, मेमोरीमा लोड हुन्छ, र मालवेयर पेलोडको कार्यान्वयन गर्दछ। यदि लक्ष्यले 64-बिट प्रणाली प्रयोग गर्छ भने, CostaRicto ले फरक लोडर डिप्लोय गर्दछ - PowerSploit को रिफ्लेक्टिभ PE इंजेक्शन मोड्युल।

आक्रमण श्रृङ्खला फिसिङ मार्फत जम्मा गरिएका वा गाढा वेबमा खरिद गरिएका सङ्कलन प्रमाणपत्रहरूको प्रयोगबाट सुरु हुन्छ। त्यसपछि, CostaRicto ले अभियानको कमाण्ड-एन्ड-कन्ट्रोल (C&C, C2) पूर्वाधारको साथ संचार च्यानल सेट अप गर्यो, TOR नेटवर्क वा प्रोक्सी प्रणाली मार्फत व्यवस्थित। सम्झौता नेटवर्क भित्र संचार को लागी, SSH टनेल को एक प्रणाली बनाईएको छ। CostaRicto को मालवेयर उपकरणहरूमा हार्डकोड गरिएका निश्चित डोमेन नामहरू वैध डोमेनहरू लुटाउन डिजाइन गरिएका छन् - भ्रष्ट 'sbidb.net' डोमेनले स्टेट बैंक अफ इण्डिया बंगलादेशको डोमेनको नक्कल गर्छ, जुन 'sbidb.com' हो। एउटा जिज्ञासु तथ्य जुन आकस्मिक हुन सक्छ CostaRicto को IP ठेगानाको पुन: प्रयोग हो जुन पहिले अर्को ह्याकर समूह द्वारा संचालित फिसिङ अभियानमा अवलोकन गरिएको थियो - APT28 को रूपमा चिनिने APT खतरा अभिनेता।

ह्याकरहरूको समूह भएको कारण जसले आफ्नो सेवाहरू सबैभन्दा धेरै तिर्ने ग्राहकहरूलाई प्रदान गर्दछ, CostaRicto को सञ्चालनहरू संसारभरका पीडितहरूलाई पत्ता लगाउन सकिन्छ। चीन, अमेरिका, अष्ट्रेलिया, अस्ट्रिया, नेदरल्याण्ड्स, सिंगापुर, फ्रान्स, भारत, मोजाम्बिक, सिंगापुर र पोर्चुगलमा लक्ष्य पहिचान गरिएको छ। अनुमान गर्न सकिने एउटै ढाँचा भनेको दक्षिण एसियाली क्षेत्रमा सम्झौता गरिएका मेसिनहरूको अलिकति उच्च एकाग्रता हो।