CostaRicto APT

CostaRicto është emri i dhënë për një grup hakerash që me sa duket po vepron si mercenar dhe ofron shërbimet e tyre me qira. Aktivitetet e saj u zbuluan nga ekspertët e infosec në BlackBerry, të cilët zbuluan një fushatë spiunazhi të gjerë. Grupe të tilla 'hakerësh me qira' po shfaqen gjithnjë e më shumë në botën e krimit kibernetik pasi ata posedojnë aftësi dhe mjete të barabarta me grupet e Kërcënimeve të Përparuara të Përhershme (APT) të sponsorizuara nga shteti, por mund të operojnë në një nivel mbarëbotëror në shumë sektorë të industrisë. në përputhje me nevojat e klientëve të tyre.

CostaRicto përdor një grup mjetesh kërcënimesh malware të krijuara me porosi që janë krijuar nga vetë hakerat ose janë porositur ekskluzivisht. Në fushatën e spiunazhit kibernetik, hakerët vendosën dy lloje ngarkuesish në varësi të arkitekturës së kompjuterit të synuar, një lloj unik malware me dyer të pasme të quajtur SombRAT, HTTP dhe skedarë të ngarkesës së kundërt DNS, një skanues porti 'nmap' dhe PsExec. Për sistemet 32-bit, hakerët përdorin CostaBricks - një ngarkues i personalizuar që implementon një mekanizëm të makinës virtuale që inicion një bajtkod përgjegjës për përshkrimin, ngarkimin në memorie dhe ekzekutimin e ngarkesës së malware. Nëse objektivi përdor një sistem 64-bitësh, CostaRicto vendos një ngarkues tjetër - modulin reflektues të injektimit PE të PowerSploit.

Zinxhiri i sulmit fillon, ka shumë të ngjarë, me përdorimin e kredencialeve të mbledhura të mbledhura përmes phishing ose thjesht të blera në ueb-in e errët. Më pas, CostaRicto krijoi kanalin e komunikimit me infrastrukturën Command-and-Control (C&C, C2) të fushatës, të menaxhuar përmes rrjetit TOR ose një sistemi proxies. Për komunikim brenda rrjetit të komprometuar, krijohet një sistem tunelesh SSH. Disa emra domenesh që janë gjetur të jenë të koduar në veglat malware të CostaRicto janë krijuar për të mashtruar domenet legjitime - domeni i korruptuar 'sbidb.net' imiton domenin e Bankës Shtetërore të Indisë në Bangladesh, që është 'sbidb.com'. Një fakt kurioz që mund të jetë i rastësishëm është ripërdorimi i një adrese IP nga CostaRicto që është vërejtur në një fushatë phishing të kryer nga një grup tjetër hakerash më parë - aktori i kërcënimit APT i njohur si APT28.

Duke qenë një grup hakerash që ofrojnë shërbimet e tyre për klientin me pagesë më të lartë, operacionet e CostaRicto mund të gjurmohen tek viktimat në të gjithë botën. Objektivat janë identifikuar në Kinë, SHBA, Australi, Austri, Holandë, Singapor, Francë, Indi, Mozambik, Singapor dhe Portugali. Modeli i vetëm që mund të supozohet është një përqendrim pak më i lartë i makinerive të komprometuara në rajonin e Azisë Jugore.