CostaBricks

CostaBricks is een op maat gemaakte lader die wordt gebruikt om de 32-bits versie van de SombRAT Backdoor-malware te leveren. Beide tools maken deel uit van het arsenaal van een hackergroep genaamd CostaRicto die opereert als huurling. Voor CostaBricks creëerden de hackers een unieke implementatie van een virtueel machinemechanisme dat verantwoordelijk is voor het uitvoeren van een ingesloten bytecode die de uiteindelijke lading decodeert en in het geheugen injecteert. Dit virtuele machinemechanisme bestaat uit C ++ - objecten en klassen en heeft 20 verschillende instructies die elk tussen nul en drie operanden hebben. Het doel van deze methode is om de verduistering van de bedreigende activiteiten die door de bedreiging worden uitgevoerd, te vergroten. Verdere anti-analysemaatregelen die in de dreiging zijn gevonden, omvatten de volledige, onversluierde code van een legitieme open-source applicatie genaamd Blink. Deze code wordt nooit uitgevoerd.

De bytecode die door CostaBricks werd gebruikt, bleef identiek in de verschillende voorbeelden van de dreiging die werden geanalyseerd door de infosec-experts van BlackBerry. Het is precies 1800 regels lang, maar de meeste zijn gewoon dons die zijn ingebracht om ze te verdoezelen. De feitelijke programmering van de bytecode is verantwoordelijk voor het decoderen van de ingesloten malware-lading, deze in het geheugen van het gecompromitteerde systeem te laden en vervolgens uit te voeren. De payload wordt gedecodeerd via een aangepast symmetrisch algoritme met hardgecodeerde sleutels die kunnen worden omschreven als een combinatie van SHL / SHR / SUB / ADD / XOR.