CostaRicto APT

CostaRicto ਇੱਕ ਹੈਕਰ ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਨਾਮ ਹੈ ਜੋ ਜ਼ਾਹਰ ਤੌਰ 'ਤੇ ਇੱਕ ਕਿਰਾਏਦਾਰ ਵਜੋਂ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ ਅਤੇ ਕਿਰਾਏ ਲਈ ਆਪਣੀਆਂ ਸੇਵਾਵਾਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰ ਰਿਹਾ ਹੈ। ਬਲੈਕਬੇਰੀ ਦੇ ਇਨਫੋਸੈਕਸ ਮਾਹਿਰਾਂ ਦੁਆਰਾ ਇਸ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਸੀ, ਜਿਨ੍ਹਾਂ ਨੇ ਇੱਕ ਵਿਆਪਕ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਸੀ। ਅਜਿਹੇ 'ਹੈਕਰ-ਫੌਰ-ਹਾਇਰ' ਸਮੂਹ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਅੰਡਰਵਰਲਡ ਵਿੱਚ ਵੱਧ ਤੋਂ ਵੱਧ ਦਿਖਾਈ ਦੇ ਰਹੇ ਹਨ ਕਿਉਂਕਿ ਉਨ੍ਹਾਂ ਕੋਲ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟ (ਏਪੀਟੀ) ਸਮੂਹਾਂ ਦੇ ਬਰਾਬਰ ਸਮਰੱਥਾ ਅਤੇ ਸਾਧਨ ਹਨ ਪਰ ਕਈ ਉਦਯੋਗ ਖੇਤਰਾਂ ਵਿੱਚ ਵਿਸ਼ਵ-ਵਿਆਪੀ ਪੱਧਰ 'ਤੇ ਕੰਮ ਕਰ ਸਕਦੇ ਹਨ। ਆਪਣੇ ਗਾਹਕਾਂ ਦੀਆਂ ਲੋੜਾਂ ਦੇ ਅਨੁਸਾਰ.

CostaRicto ਕਸਟਮ-ਬਿਲਟ ਮਾਲਵੇਅਰ ਖਤਰਿਆਂ ਦੇ ਇੱਕ ਟੂਲਸੈੱਟ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ ਜੋ ਜਾਂ ਤਾਂ ਖੁਦ ਹੈਕਰਾਂ ਦੁਆਰਾ ਬਣਾਏ ਗਏ ਸਨ ਜਾਂ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਚਾਲੂ ਕੀਤੇ ਗਏ ਸਨ। ਸਾਈਬਰ-ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਵਿੱਚ, ਹੈਕਰਾਂ ਨੇ ਨਿਸ਼ਾਨਾ ਕੰਪਿਊਟਰ ਦੇ ਢਾਂਚੇ ਦੇ ਆਧਾਰ 'ਤੇ ਦੋ ਲੋਡਰ ਕਿਸਮਾਂ ਨੂੰ ਤਾਇਨਾਤ ਕੀਤਾ, SombRAT, HTTP, ਅਤੇ ਰਿਵਰਸ-DNS ਪੇਲੋਡ ਸਟੇਜਰਜ਼, ਇੱਕ ਪੋਰਟ ਸਕੈਨਰ 'nmap,' ਅਤੇ PsExec ਨਾਮਕ ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਦਾ ਇੱਕ ਵਿਲੱਖਣ ਤਣਾਅ। 32-ਬਿੱਟ ਸਿਸਟਮਾਂ ਲਈ, ਹੈਕਰ ਕੋਸਟਾਬ੍ਰਿਕਸ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ - ਇੱਕ ਕਸਟਮ ਲੋਡਰ ਜੋ ਇੱਕ ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਵਿਧੀ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ ਜੋ ਵਰਣਨ, ਮੈਮੋਰੀ ਵਿੱਚ ਲੋਡ ਕਰਨ, ਅਤੇ ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਇੱਕ ਬਾਈਟਕੋਡ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਟੀਚਾ ਇੱਕ 64-ਬਿੱਟ ਸਿਸਟਮ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਤਾਂ ਕੋਸਟਾਰਿਕਟੋ ਇੱਕ ਵੱਖਰੇ ਲੋਡਰ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ - ਪਾਵਰਸਪਲੋਇਟ ਦਾ ਪ੍ਰਤੀਬਿੰਬਿਤ PE ਇੰਜੈਕਸ਼ਨ ਮੋਡੀਊਲ।

ਹਮਲੇ ਦੀ ਲੜੀ, ਜ਼ਿਆਦਾਤਰ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ, ਫਿਸ਼ਿੰਗ ਦੁਆਰਾ ਇਕੱਠੇ ਕੀਤੇ ਗਏ ਜਾਂ ਸਿਰਫ਼ ਡਾਰਕ ਵੈੱਬ 'ਤੇ ਖਰੀਦੇ ਗਏ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ। ਫਿਰ, CostaRicto ਨੇ ਮੁਹਿੰਮ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C, C2) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਨਾਲ ਸੰਚਾਰ ਚੈਨਲ ਸਥਾਪਤ ਕੀਤਾ, TOR ਨੈੱਟਵਰਕ ਜਾਂ ਇੱਕ ਪ੍ਰੌਕਸੀ ਸਿਸਟਮ ਦੁਆਰਾ ਪ੍ਰਬੰਧਿਤ ਕੀਤਾ ਗਿਆ। ਸਮਝੌਤਾ ਕੀਤੇ ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਸੰਚਾਰ ਲਈ, SSH ਸੁਰੰਗਾਂ ਦੀ ਇੱਕ ਪ੍ਰਣਾਲੀ ਬਣਾਈ ਗਈ ਹੈ। CostaRicto ਦੇ ਮਾਲਵੇਅਰ ਟੂਲਸ ਵਿੱਚ ਹਾਰਡਕੋਡ ਕੀਤੇ ਗਏ ਕੁਝ ਡੋਮੇਨ ਨਾਮ ਜਾਇਜ਼ ਡੋਮੇਨਾਂ ਨੂੰ ਧੋਖਾ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ - ਦੂਸ਼ਿਤ 'sbidb.net' ਡੋਮੇਨ ਸਟੇਟ ਬੈਂਕ ਆਫ਼ ਇੰਡੀਆ ਬੰਗਲਾਦੇਸ਼ ਦੇ ਡੋਮੇਨ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ 'sbidb.com' ਹੈ। ਇੱਕ ਉਤਸੁਕ ਤੱਥ ਜੋ ਦੁਰਘਟਨਾ ਹੋ ਸਕਦਾ ਹੈ CostaRicto ਦੁਆਰਾ ਇੱਕ IP ਪਤੇ ਦੀ ਮੁੜ ਵਰਤੋਂ ਹੈ ਜੋ ਕਿ ਪਹਿਲਾਂ ਇੱਕ ਹੋਰ ਹੈਕਰ ਸਮੂਹ ਦੁਆਰਾ ਚਲਾਈ ਗਈ ਇੱਕ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਹੈ - APT ਧਮਕੀ ਅਭਿਨੇਤਾ ਜਿਸਨੂੰ APT28 ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।

ਹੈਕਰਾਂ ਦਾ ਇੱਕ ਸਮੂਹ ਹੋਣ ਦੇ ਨਾਤੇ ਜੋ ਸਭ ਤੋਂ ਵੱਧ ਭੁਗਤਾਨ ਕਰਨ ਵਾਲੇ ਗਾਹਕ ਨੂੰ ਆਪਣੀਆਂ ਸੇਵਾਵਾਂ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ, CostaRicto ਦੇ ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਪੂਰੀ ਦੁਨੀਆ ਵਿੱਚ ਪੀੜਤਾਂ ਤੱਕ ਲੱਭਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਚੀਨ, ਅਮਰੀਕਾ, ਆਸਟਰੇਲੀਆ, ਆਸਟਰੀਆ, ਨੀਦਰਲੈਂਡ, ਸਿੰਗਾਪੁਰ, ਫਰਾਂਸ, ਭਾਰਤ, ਮੋਜ਼ਾਮਬੀਕ, ਸਿੰਗਾਪੁਰ ਅਤੇ ਪੁਰਤਗਾਲ ਵਿੱਚ ਨਿਸ਼ਾਨੇ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ। ਸਿਰਫ ਇੱਕ ਪੈਟਰਨ ਜਿਸਦਾ ਅੰਦਾਜ਼ਾ ਲਗਾਇਆ ਜਾ ਸਕਦਾ ਹੈ ਉਹ ਹੈ ਦੱਖਣ-ਏਸ਼ੀਅਨ ਖੇਤਰ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਮਸ਼ੀਨਾਂ ਦੀ ਇੱਕ ਥੋੜੀ-ਵੱਧ ਤਵੱਜੋ।