CostaRicto APT

CostaRicto is de naam die is gegeven aan een hackergroep die blijkbaar als huurling optreedt en hun diensten te huur aanbiedt. Zijn activiteiten werden ontdekt door de infosec-experts van BlackBerry, die een brede spionagecampagne aan het licht brachten. Dergelijke 'hackers-for-Hire'-groepen verschijnen steeds vaker in de cybercrime-onderwereld omdat ze over capaciteiten en tools beschikken die vergelijkbaar zijn met door de staat gesponsorde Advanced Persistent Threat (APT) -groepen, maar op een wereldwijd niveau in meerdere industriesectoren kunnen opereren in overeenstemming met de behoeften van hun klanten.

CostaRicto gebruikt een toolset van op maat gemaakte malwarebedreigingen die ofwel door de hackers zelf zijn gemaakt of die exclusief in opdracht zijn gemaakt. In de cyberspionagecampagne gebruikten de hackers twee ladertypen, afhankelijk van de architectuur van de beoogde computer, een unieke soort backdoor-malware genaamd SombRAT, HTTP en reverse-DNS-payloadstagers, een poortscanner 'nmap' en PsExec. Voor 32-bits systemen gebruiken de hackers CostaBricks - een aangepaste lader die een virtueel machinemechanisme implementeert dat een bytecode initieert die verantwoordelijk is voor de beschrijving, het laden in het geheugen en de uitvoering van de malware-payload. Als het doelwit een 64-bits systeem gebruikt, gebruikt CostaRicto een andere lader - de reflecterende PE-injectiemodule van PowerSploit.

De aanvalsketen begint, hoogstwaarschijnlijk, met het gebruik van verzamelde inloggegevens die zijn verzameld via phishing of die eenvoudigweg zijn gekocht op het dark web. Vervolgens zette CostaRicto het communicatiekanaal op met de Command-and-Control (C&C, C2) -infrastructuur van de campagne, beheerd via het TOR-netwerk of een proxysysteem. Voor communicatie binnen het gecompromitteerde netwerk wordt een systeem van SSH-tunnels gemaakt. Bepaalde domeinnamen die hard gecodeerd zijn in de malwaretools van CostaRicto, zijn ontworpen om legitieme domeinen te vervalsen - het beschadigde domein 'sbidb.net' bootst het domein van de State Bank of India Bangladesh na, dat 'sbidb.com' is. Een merkwaardig feit dat per ongeluk zou kunnen gebeuren, is het hergebruik van een IP-adres door CostaRicto dat is waargenomen in een phishing-campagne die eerder werd uitgevoerd door een andere hackergroep: de APT-dreigingsacteur die bekend staat als APT28.

Als een groep hackers die hun diensten aanbieden aan de best betalende klant, zijn de activiteiten van CostaRicto te herleiden tot slachtoffers over de hele wereld. Er zijn doelen vastgesteld in China, de VS, Australië, Oostenrijk, Nederland, Singapore, Frankrijk, India, Mozambique, Singapore en Portugal. Het enige patroon dat kan worden vermoed, is een iets hogere concentratie van gecompromitteerde machines in de Zuid-Aziatische regio.