కోస్టారిక్టో APT

కోస్టారిక్టో అనేది ఒక హ్యాకర్ గ్రూప్‌కు ఇవ్వబడిన పేరు, ఇది స్పష్టంగా కిరాయికి పని చేస్తూ వారి సేవలను అద్దెకు అందిస్తోంది. దీని కార్యకలాపాలను బ్లాక్‌బెర్రీలోని ఇన్ఫోసెక్ నిపుణులు గుర్తించారు, వారు విస్తృత శ్రేణి గూఢచర్య ప్రచారాన్ని వెలికితీశారు. రాష్ట్ర ప్రాయోజిత అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూపులతో సమానంగా సామర్థ్యాలు మరియు సాధనాలను కలిగి ఉన్నందున, సైబర్‌క్రైమ్ అండర్‌వరల్డ్‌లో ఇటువంటి 'హ్యాకర్స్-ఫర్-హైర్' గ్రూపులు ఎక్కువగా కనిపిస్తున్నాయి, అయితే బహుళ పరిశ్రమ రంగాలలో ప్రపంచ వ్యాప్తంగా పని చేయగలవు. వారి ఖాతాదారుల అవసరాలకు అనుగుణంగా.

CostaRicto కస్టమ్-బిల్ట్ మాల్వేర్ బెదిరింపుల టూల్‌సెట్‌ను ఉపయోగిస్తుంది, అవి హ్యాకర్లు స్వయంగా సృష్టించినవి లేదా ప్రత్యేకంగా నియమించబడినవి. సైబర్-గూఢచర్యం ప్రచారంలో, హ్యాకర్లు లక్ష్యంగా చేసుకున్న కంప్యూటర్ ఆర్కిటెక్చర్ ఆధారంగా రెండు లోడర్ రకాలను మోహరించారు, ఇది SombRAT, HTTP మరియు రివర్స్-DNS పేలోడ్ స్టేజర్‌లు, పోర్ట్ స్కానర్ 'nmap,' మరియు PsExec అని పిలువబడే బ్యాక్‌డోర్ మాల్వేర్ యొక్క ప్రత్యేకమైన జాతి. 32-బిట్ సిస్టమ్‌ల కోసం, హ్యాకర్లు CostaBricksని ఉపయోగిస్తున్నారు - ఇది వర్చువల్ మెషీన్ మెకానిజంను అమలు చేసే కస్టమ్ లోడర్, ఇది వివరణ, మెమరీలోకి లోడ్ చేయడం మరియు మాల్వేర్ పేలోడ్ అమలుకు బాధ్యత వహించే బైట్‌కోడ్‌ను ప్రారంభిస్తుంది. లక్ష్యం 64-బిట్ సిస్టమ్‌ని ఉపయోగిస్తుంటే, CostaRicto వేరే లోడర్‌ని అమలు చేస్తుంది - PowerSploit యొక్క రిఫ్లెక్టివ్ PE ఇంజెక్షన్ మాడ్యూల్.

దాడి గొలుసు చాలా మటుకు, ఫిషింగ్ ద్వారా సేకరించిన లేదా డార్క్ వెబ్‌లో కొనుగోలు చేసిన సేకరించిన ఆధారాలను ఉపయోగించడంతో ప్రారంభమవుతుంది. అప్పుడు, CostaRicto TOR నెట్‌వర్క్ లేదా ప్రాక్సీ సిస్టమ్ ద్వారా నిర్వహించబడే ప్రచారం యొక్క కమాండ్-అండ్-కంట్రోల్ (C&C, C2) అవస్థాపనతో కమ్యూనికేషన్ ఛానెల్‌ని సెటప్ చేసింది. రాజీపడిన నెట్‌వర్క్‌లో కమ్యూనికేషన్ కోసం, SSH సొరంగాల వ్యవస్థ సృష్టించబడుతుంది. CostaRicto యొక్క మాల్వేర్ సాధనాలలో హార్డ్‌కోడ్ చేయబడిన కొన్ని డొమైన్ పేర్లు చట్టబద్ధమైన డొమైన్‌లను మోసగించడానికి రూపొందించబడ్డాయి - పాడైన 'sbidb.net' డొమైన్ స్టేట్ బ్యాంక్ ఆఫ్ ఇండియా బంగ్లాదేశ్ డొమైన్‌ను అనుకరిస్తుంది, ఇది 'sbidb.com.' అని పిలుస్తారు ఆప్ట్ ముప్పు నటుడు - ప్రమాదవశాత్తు చేయగల ఒక ఆసక్తికరమైన నిజానికి గతంలో మరొక హాకర్ సమూహం నిర్వహించిన ఒక ఫిషింగ్ ప్రచారంలో గమనించబడింది ఒక IP చిరునామా యొక్క CostaRicto యొక్క పునర్వినియోగం ఉంది APT28 .

అత్యధికంగా చెల్లించే క్లయింట్‌కు తమ సేవలను అందించే హ్యాకర్ల సమూహం కావడం వల్ల, CostaRicto యొక్క కార్యకలాపాలు ప్రపంచవ్యాప్తంగా ఉన్న బాధితులను గుర్తించవచ్చు. చైనా, US, ఆస్ట్రేలియా, ఆస్ట్రియా, నెదర్లాండ్స్, సింగపూర్, ఫ్రాన్స్, ఇండియా, మొజాంబిక్, సింగపూర్ మరియు పోర్చుగల్‌లలో లక్ష్యాలు గుర్తించబడ్డాయి. దక్షిణ-ఆసియా ప్రాంతంలో రాజీపడిన యంత్రాల యొక్క కొంచెం-ఎక్కువ ఏకాగ్రత మాత్రమే ఊహించగలిగే ఏకైక నమూనా.