ЦостаРицто АПТ

ЦостаРицто је име дато групи хакера која очигледно ради као плаћеник и нуди своје услуге за изнајмљивање. Његове активности су открили стручњаци за инфосец у БлацкБерри-ју, који су открили широку шпијунску кампању. Такве групе „хакера за унајмљивање“ се све више појављују у подземљу сајбер криминала јер поседују способности и алате упоредо са групама за напредне трајне претње (АПТ) које спонзорише држава, али могу да делују на нивоу широм света у више сектора индустрије. у складу са потребама својих клијената.

ЦостаРицто користи скуп алата прилагођених претњи од малвера које су или креирали сами хакери или су искључиво наручени. У кампањи сајбер-шпијунаже, хакери су применили два типа учитавача у зависности од архитектуре циљаног рачунара, јединствену врсту бацкдоор малвера под називом СомбРАТ, ХТТП и реверсе-ДНС паилоад стагерс, скенер портова 'нмап' и ПсЕкец. За 32-битне системе, хакери користе ЦостаБрицкс - прилагођени учитавач који имплементира механизам виртуелне машине који покреће бајт код одговоран за опис, учитавање у меморију и извршење корисног оптерећења злонамерног софтвера. Ако циљ користи 64-битни систем, ЦостаРицто примењује другачији лоадер - ПоверСплоитов рефлектујући ПЕ модул за убризгавање.

Ланац напада почиње, највероватније, употребом прикупљених акредитива прикупљених путем пхисхинг-а или једноставно купљених на мрачном вебу. Затим је ЦостаРицто поставио комуникациони канал са инфраструктуром за команду и контролу (Ц&Ц, Ц2) кампање, којом се управља преко ТОР мреже или прокси система. За комуникацију унутар компромитоване мреже креира се систем ССХ тунела. Одређени називи домена за које је утврђено да су чврсто кодирани у малвер алатима ЦостаРицто-а су дизајнирани да лажирају легитимне домене - оштећени домен 'сбидб.нет' опонаша домен Државне банке Индије Бангладеш, а то је 'сбидб.цом'. Занимљива чињеница која би могла бити случајна је ЦостаРицто-ова поновна употреба ИП адресе која је примећена у кампањи за крађу идентитета коју је раније водила друга хакерска група - актер претњи АПТ познат као АПТ28.

Као група хакера који своје услуге нуде клијентима који највише плаћају, ЦостаРицто-ове операције се могу пратити до жртава широм света. Мете су идентификоване у Кини, САД, Аустралији, Аустрији, Холандији, Сингапуру, Француској, Индији, Мозамбику, Сингапуру и Португалу. Једини образац који се може претпоставити је нешто већа концентрација компромитованих машина у јужно-азијском региону.

У тренду

Најгледанији

Учитавање...