CostaRicto APT

CostaRicto เป็นชื่อที่มอบให้กับกลุ่มแฮ็กเกอร์ที่เห็นได้ชัดว่าเป็นทหารรับจ้างและเสนอบริการให้เช่า กิจกรรมของมันถูกตรวจพบโดยผู้เชี่ยวชาญของ infosec ที่ BlackBerry ซึ่งเปิดเผยแคมเปญจารกรรมในวงกว้าง กลุ่ม 'แฮ็กเกอร์ให้เช่า' ดังกล่าวกำลังปรากฏขึ้นในโลกใต้พิภพอาชญากรรมไซเบอร์มากขึ้นเรื่อยๆ เนื่องจากพวกเขามีความสามารถและเครื่องมือเทียบเท่ากับกลุ่ม Advanced Persistent Threat (APT) ที่ได้รับการสนับสนุนจากรัฐ แต่สามารถดำเนินการได้ทั่วโลกในหลายภาคส่วนอุตสาหกรรม ตามความต้องการของลูกค้า

CostaRicto ใช้ชุดเครื่องมือของภัยคุกคามมัลแวร์ที่สร้างขึ้นเองซึ่งสร้างขึ้นโดยแฮกเกอร์เองหรือได้รับมอบหมายเฉพาะ ในแคมเปญจารกรรมทางไซเบอร์ แฮกเกอร์ได้ปรับใช้ตัวโหลดสองประเภทขึ้นอยู่กับสถาปัตยกรรมของคอมพิวเตอร์เป้าหมาย มัลแวร์แบ็คดอร์สายพันธุ์พิเศษที่เรียกว่า SombRAT, HTTP และตัวโหลด DNS แบบย้อนกลับ เครื่องสแกนพอร์ต 'nmap' และ PsExec สำหรับระบบ 32 บิต แฮกเกอร์ใช้ CostaBricks ซึ่งเป็นตัวโหลดแบบกำหนดเองที่ใช้กลไกเครื่องเสมือนที่เริ่มต้น bytecode ที่รับผิดชอบสำหรับคำอธิบาย โหลดลงในหน่วยความจำ และดำเนินการเพย์โหลดของมัลแวร์ หากเป้าหมายใช้ระบบ 64 บิต CostaRicto ปรับใช้ตัวโหลดอื่น - โมดูลการฉีด PE แบบสะท้อนแสงของ PowerSploit

ห่วงโซ่การโจมตีเริ่มต้นด้วยการใช้ข้อมูลประจำตัวที่เก็บรวบรวมซึ่งรวบรวมผ่านฟิชชิ่งหรือเพียงแค่ซื้อบนเว็บมืด จากนั้น CostaRicto ตั้งค่าช่องทางการสื่อสารด้วยโครงสร้างพื้นฐาน Command-and-Control (C&C, C2) ของแคมเปญ ซึ่งจัดการผ่านเครือข่าย TOR หรือระบบพร็อกซี่ สำหรับการสื่อสารภายในเครือข่ายที่ถูกบุกรุก ระบบของอุโมงค์ข้อมูล SSH จะถูกสร้างขึ้น ชื่อโดเมนบางชื่อที่ถูกฮาร์ดโค้ดไว้ในเครื่องมือมัลแวร์ของ CostaRicto ได้รับการออกแบบมาเพื่อปลอมแปลงโดเมนที่ถูกต้อง - โดเมน 'sbidb.net' ที่เสียหายจะเลียนแบบโดเมนของธนาคารแห่งอินเดียบังคลาเทศ ซึ่งก็คือ 'sbidb.com' ความจริงอยากรู้อยากเห็นที่อาจจะไม่ได้ตั้งใจคือการใช้ซ้ำ CostaRicto ของที่อยู่ IP ที่ได้รับการปฏิบัติในการรณรงค์ฟิชชิ่งที่ดำเนินการโดยกลุ่มแฮกเกอร์อีกก่อนหน้านี้ - นักแสดงภัยคุกคาม APT ที่รู้จักในฐานะ APT28

ในฐานะกลุ่มแฮกเกอร์ที่ให้บริการแก่ลูกค้าที่จ่ายเงินสูงสุด การดำเนินงานของ CostaRicto สามารถติดตามเหยื่อได้ทั่วโลก มีการระบุเป้าหมายในประเทศจีน สหรัฐอเมริกา ออสเตรเลีย ออสเตรีย เนเธอร์แลนด์ สิงคโปร์ ฝรั่งเศส อินเดีย โมซัมบิก สิงคโปร์ และโปรตุเกส รูปแบบเดียวที่สามารถคาดเดาได้คือความเข้มข้นที่สูงกว่าเล็กน้อยของเครื่องจักรที่ถูกบุกรุกในภูมิภาคเอเชียใต้