CostaRicto APT

CostaRicto este numele dat unui grup de hackeri care se pare că operează ca mercenar și își oferă serviciile spre închiriere. Activitățile sale au fost detectate de experții infosec de la BlackBerry, care au descoperit o campanie de spionaj cu gamă largă. Astfel de grupuri de „hackeri pe bază de angajare” apar din ce în ce mai mult în lumea interlopă a criminalității cibernetice, deoarece posedă capacități și instrumente la fel cu grupurile APT (Advanced Persistent Threat) sponsorizate de stat, dar pot opera la nivel mondial în mai multe sectoare industriale. in concordanta cu nevoile clientilor lor.

CostaRicto folosește un set de instrumente de amenințări malware personalizate care fie au fost create de hackeri înșiși, fie au fost comandate exclusiv. În campania de spionaj cibernetic, hackerii au implementat două tipuri de încărcare, în funcție de arhitectura computerului vizat, o tulpină unică de malware backdoor numită SombRAT, HTTP și stagers de încărcare a DNS invers, un scanner de porturi „nmap” și PsExec. Pentru sistemele pe 32 de biți, hackerii folosesc CostaBricks - un încărcător personalizat care implementează un mecanism de mașină virtuală care inițiază un bytecode responsabil pentru descriere, încărcare în memorie și execuție a încărcăturii utile de malware. Dacă ținta folosește un sistem pe 64 de biți, CostaRicto implementează un încărcător diferit - modulul de injecție PE reflectorizant PowerSploit.

Lanțul de atac începe, cel mai probabil, cu utilizarea acreditărilor colectate adunate prin phishing sau pur și simplu cumpărate de pe dark Web. Apoi, CostaRicto a configurat canalul de comunicare cu infrastructura Command-and-Control (C&C, C2) a campaniei, gestionată prin intermediul rețelei TOR sau a unui sistem proxy. Pentru comunicarea în cadrul rețelei compromise, este creat un sistem de tuneluri SSH. Anumite nume de domenii găsite a fi codificate în instrumentele malware ale CostaRicto sunt concepute pentru a falsifica domeniile legitime - domeniul corupt „sbidb.net” imită domeniul Băncii de Stat a Indiei Bangladesh, care este „sbidb.com”. Un fapt curios care ar putea fi accidental este reutilizarea de către CostaRicto a unei adrese IP care a fost observată într-o campanie de phishing desfășurată anterior de un alt grup de hackeri - actorul de amenințare APT cunoscut sub numele de APT28 .

Fiind un grup de hackeri care își oferă serviciile celui mai bine plătit client, operațiunile CostaRicto pot fi urmărite până la victimele din întreaga lume. Au fost identificate ținte în China, SUA, Australia, Austria, Țările de Jos, Singapore, Franța, India, Mozambic, Singapore și Portugalia. Singurul model care ar putea fi bănuit este o concentrație puțin mai mare de mașini compromise în regiunea sud-asiatică.