CostaRicto APT

CostaRicto é o nome dado a um grupo de hackers que aparentemente opera como mercenário e oferece seus serviços para aluguel. Suas atividades foram detectadas pelos especialistas em infosec da BlackBerry, que descobriram uma ampla campanha de espionagem. Esses grupos de 'hackers de aluguel' estão aparecendo cada vez mais no submundo do crime cibernético, pois possuem recursos e ferramentas equivalentes aos grupos de Ameaça Persistente Avançada (APT) patrocinados pelo estado, mas podem operar em um nível mundial em vários setores da indústria de acordo com as necessidades de seus clientes.

O CostaRicto emprega um conjunto de ferramentas de ameaças de malware personalizadas, criadas pelos próprios hackers ou comissionadas exclusivamente. Na campanha de espionagem cibernética, os hackers implantaram dois tipos de carregador, dependendo da arquitetura do computador alvo, uma variedade única de malware backdoor chamada SombRAT, HTTP e stagers de carga de DNS reverso, um scanner de porta 'nmap' e PsExec. Para sistemas de 32 bits, os hackers usam CostaBricks - um carregador personalizado que implementa um mecanismo de máquina virtual que inicia um bytecode responsável pela descrição, carregamento na memória e execução da carga de malware. Se o destino usa um sistema de 64 bits, CostaRicto implementa um carregador diferente - o módulo de injeção de PE refletivo do PowerSploit.

A cadeia de ataques começa, provavelmente, com o uso de credenciais coletadas por meio de phishing ou simplesmente compradas na dark Web. Em seguida, a CostaRicto montou o canal de comunicação com a infraestrutura de Comando e Controle (C&C, C2) da campanha, gerenciada através da rede TOR ou sistema de proxies. Para comunicação dentro da rede comprometida, um sistema de túneis SSH é criado. Certos nomes de domínio codificados nas ferramentas de malware do CostaRicto são projetados para falsificar domínios legítimos - o domínio 'sbidb.net' corrompido imita o domínio do State Bank of India Bangladesh, que é 'sbidb.com'. Um fato curioso que pode ser acidental é a reutilização de um endereço IP por CostaRicto que foi observado em uma campanha de phishing conduzida por outro grupo de hackers anteriormente - o ator de ameaça APT conhecido como APT28.

Por ser um grupo de hackers que oferece seus serviços ao cliente mais bem pago, as operações da CostaRicto podem ser rastreadas até vítimas em todo o mundo. As metas foram identificadas na China, Estados Unidos, Austrália, Áustria, Holanda, Cingapura, França, Índia, Moçambique, Cingapura e Portugal. O único padrão que pode ser presumido é uma concentração ligeiramente maior de máquinas comprometidas na região do Sul da Ásia.

Tendendo

Mais visto

Carregando...