Коста-Рикто АПТ

CostaRicto — это название группы хакеров, которая, по-видимому, действует как наемник и предлагает свои услуги по найму. Его деятельность была обнаружена экспертами по информационной безопасности BlackBerry, которые раскрыли широкомасштабную шпионскую кампанию. Такие группы «хакеров по найму» все больше и больше появляются в преступном мире киберпреступности, поскольку они обладают возможностями и инструментами наравне с спонсируемыми государством группами Advanced Persistent Threat (APT), но могут действовать на глобальном уровне в различных отраслях промышленности. в соответствии с потребностями своих клиентов.

CostaRicto использует набор специально разработанных вредоносных программ, созданных либо самими хакерами, либо по их заказу. В ходе кампании кибершпионажа хакеры развернули два типа загрузчиков в зависимости от архитектуры целевого компьютера, уникальную разновидность бэкдор-вредоносного ПО под названием SombRAT, HTTP и обратного DNS, сканер портов nmap и PsExec. Для 32-битных систем хакеры используют CostaBricks — специальный загрузчик, реализующий механизм виртуальной машины, инициирующий байт-код, отвечающий за описание, загрузку в память и выполнение полезной нагрузки вредоносного ПО. Если цель использует 64-битную систему, CostaRicto развертывает другой загрузчик — модуль рефлективного внедрения PE PowerSploit.

Цепочка атак начинается, скорее всего, с использования собранных учетных данных, собранных с помощью фишинга или просто купленных в даркнете. Затем CostaRicto настроила канал связи с инфраструктурой Command-and-Control (C&C, C2) кампании, управляемой через сеть TOR или систему прокси. Для связи внутри скомпрометированной сети создается система SSH-туннелей. Определенные доменные имена, которые были жестко закодированы в вредоносных инструментах CostaRicto, предназначены для подделки законных доменов — поврежденный домен «sbidb.net» имитирует домен Государственного банка Индии и Бангладеш, который называется «sbidb.com». Любопытным фактом, который мог быть случайным, является повторное использование CostaRicto IP-адреса, который был замечен в фишинговой кампании, проведенной ранее другой хакерской группой — субъектом APT-угрозы, известным как APT28 .

Будучи группой хакеров, которые предлагают свои услуги самым высокооплачиваемым клиентам, операции CostaRicto можно отследить до жертв по всему миру. Цели были выявлены в Китае, США, Австралии, Австрии, Нидерландах, Сингапуре, Франции, Индии, Мозамбике, Сингапуре и Португалии. Единственная закономерность, которую можно предположить, — это немного более высокая концентрация скомпрометированных машин в регионе Южной Азии.