CostaRicto APT
CostaRicto är namnet på en hackergrupp som uppenbarligen verkar som legosoldat och erbjuder sina tjänster för uthyrning. Dess aktiviteter upptäcktes av infosec-experterna på BlackBerry, som avslöjade en bred spionkampanj. Sådana "hackers-for-hire"-grupper dyker upp mer och mer i cyberbrottslighetens undre värld eftersom de har kapacitet och verktyg i nivå med statligt sponsrade Advanced Persistent Threat-grupper (APT) men kan verka på en världsomspännande nivå inom flera industrisektorer i enlighet med deras kunders behov.
CostaRicto använder en verktygsuppsättning specialbyggda skadliga hot som antingen skapades av hackarna själva eller beställdes exklusivt. I cyberspionagekampanjen använde hackarna två loader-typer beroende på arkitekturen hos den riktade datorn, en unik stam av bakdörrsskadlig kod som kallas SombRAT, HTTP och omvänd DNS-nyttolast, en portskanner 'nmap' och PsExec. För 32-bitarssystem använder hackarna CostaBricks - en anpassad laddare som implementerar en virtuell maskinmekanism som initierar en bytekod som ansvarar för beskrivningen, laddningen i minnet och exekveringen av skadlig programvara. Om målet använder ett 64-bitarssystem, använder CostaRicto en annan laddare - PowerSploits reflekterande PE-insprutningsmodul.
Attackkedjan börjar med, med största sannolikhet, användningen av insamlade referenser som samlats in genom nätfiske eller helt enkelt köpt på den mörka webben. Sedan satte CostaRicto upp kommunikationskanalen med kommando-och-kontroll (C&C, C2)-infrastrukturen för kampanjen, som hanteras via TOR-nätverket eller ett proxysystem. För kommunikation inom det komprometterade nätverket skapas ett system av SSH-tunnlar. Vissa domännamn som befunnits vara hårdkodade i CostaRictos skadliga verktyg är utformade för att förfalska legitima domäner - den skadade 'sbidb.net'-domänen efterliknar domänen för State Bank of India Bangladesh, som är 'sbidb.com'. Ett märkligt faktum som kan vara oavsiktligt är CostaRictos återanvändning av en IP-adress som har observerats i en nätfiskekampanj utförd av en annan hackergrupp tidigare - APT- hotaktören känd som APT28.
Eftersom CostaRicto är en grupp hackare som erbjuder sina tjänster till den högst betalande kunden, kan CostaRictos verksamhet spåras till offer över hela världen. Mål har identifierats i Kina, USA, Australien, Österrike, Nederländerna, Singapore, Frankrike, Indien, Moçambique, Singapore och Portugal. Det enda mönstret som kan antas är en något högre koncentration av komprometterade maskiner i den sydasiatiska regionen.
