CostaRicto APT

CostaRicto je názov pre hackerskú skupinu, ktorá zjavne funguje ako žoldnier a ponúka svoje služby na prenájom. Jeho aktivity odhalili experti na infosec v BlackBerry, ktorí odhalili rozsiahlu špionážnu kampaň. Takéto skupiny „hackerov na prenájom“ sa čoraz viac objavujú v podsvetí počítačovej kriminality, pretože majú schopnosti a nástroje na rovnakej úrovni ako štátom sponzorované skupiny Advanced Persistent Threat (APT), no môžu pôsobiť na celosvetovej úrovni vo viacerých priemyselných odvetviach. v súlade s potrebami svojich klientov.

CostaRicto využíva súpravu nástrojov na mieru vytvorených malvérových hrozieb, ktoré boli buď vytvorené samotnými hackermi, alebo boli objednané výhradne. V kampani kybernetickej špionáže hackeri nasadili dva typy zavádzačov v závislosti od architektúry cieľového počítača, jedinečný kmeň backdoor malvéru nazývaného SombRAT, HTTP a reverzné DNS stagery, skener portov „nmap“ a PsExec. Pre 32-bitové systémy hackeri používajú CostaBricks - vlastný zavádzač, ktorý implementuje mechanizmus virtuálneho stroja, ktorý spúšťa bajtový kód zodpovedný za popis, načítanie do pamäte a spustenie užitočného obsahu škodlivého softvéru. Ak cieľ používa 64-bitový systém, CostaRicto nasadí iný zavádzač – reflexný PE vstrekovací modul PowerSploit.

Útočný reťazec začína s najväčšou pravdepodobnosťou použitím zhromaždených poverení získaných prostredníctvom phishingu alebo jednoducho zakúpených na temnom webe. Potom CostaRicto nastavilo komunikačný kanál s infraštruktúrou Command-and-Control (C&C, C2) kampane, ktorá bola spravovaná prostredníctvom siete TOR alebo systému proxy. Pre komunikáciu v rámci ohrozenej siete je vytvorený systém SSH tunelov. Určité názvy domén, o ktorých sa zistilo, že sú napevno zakódované do malvérových nástrojov CostaRicto, sú navrhnuté tak, aby sfalšovali legitímne domény – poškodená doména „sbidb.net“ napodobňuje doménu Štátnej banky Indie Bangladéš, ktorá je „sbidb.com“. Zaujímavým faktom, ktorý by mohol byť náhodný, je opätovné použitie IP adresy spoločnosťou CostaRicto, ktoré bolo pozorované pri phishingovej kampani vedenej predtým inou hackerskou skupinou - aktérom hrozby APT známym ako APT28 .

Keďže ide o skupinu hackerov, ktorí ponúkajú svoje služby najlepšie platiacim klientom, operácie spoločnosti CostaRicto možno vysledovať k obetiam po celom svete. Ciele boli identifikované v Číne, USA, Austrálii, Rakúsku, Holandsku, Singapure, Francúzsku, Indii, Mozambiku, Singapure a Portugalsku. Jediným vzorom, ktorý sa dá predpokladať, je o niečo vyššia koncentrácia napadnutých strojov v juhoázijskom regióne.