CostaRicto APT

Ang CostaRicto ay ang pangalan na ibinigay sa isang grupo ng hacker na tila nagpapatakbo bilang isang mersenaryo at nag-aalok ng kanilang mga serbisyo para sa upa. Ang mga aktibidad nito ay nakita ng mga eksperto sa infosec sa BlackBerry, na natuklasan ang isang malawak na hanay ng kampanyang espiya. Ang mga ganitong grupong 'hackers-for-hire' ay lalong lumalabas sa cybercrime underworld dahil nagtataglay sila ng mga kakayahan at tool na katulad ng mga grupong Advanced Persistent Threat (APT) na itinataguyod ng estado ngunit maaaring gumana sa buong mundo na antas sa maraming sektor ng industriya alinsunod sa mga pangangailangan ng kanilang mga kliyente.

Gumagamit ang CostaRicto ng isang toolset ng mga custom-built na banta sa malware na nilikha ng mga hacker mismo o eksklusibong kinomisyon. Sa cyber-espionage campaign, ang mga hacker ay nag-deploy ng dalawang uri ng loader depende sa arkitektura ng naka-target na computer, isang natatanging strain ng backdoor malware na tinatawag na SombRAT, HTTP, at reverse-DNS payload stagers, isang port scanner 'nmap,' at PsExec. Para sa 32-bit system, ginagamit ng mga hacker ang CostaBricks - isang custom na loader na nagpapatupad ng mekanismo ng virtual machine na nagpapasimula ng bytecode na responsable para sa paglalarawan, paglo-load sa memorya, at pagpapatupad ng malware payload. Kung ang target ay gumagamit ng 64-bit system, ang CostaRicto ay nagde-deploy ng ibang loader - ang reflective PE injection module ng PowerSploit.

Ang chain ng pag-atake ay nagsisimula sa, malamang, ang paggamit ng mga nakolektang kredensyal na natipon sa pamamagitan ng phishing o binili lamang sa madilim na Web. Pagkatapos, i-set up ng CostaRicto ang channel ng komunikasyon gamit ang Command-and-Control (C&C, C2) na imprastraktura ng kampanya, na pinamamahalaan sa pamamagitan ng TOR network o isang proxy system. Para sa komunikasyon sa loob ng nakompromisong network, isang sistema ng mga SSH tunnel ang nilikha. Ang ilang partikular na pangalan ng domain na nakitang naka-hardcode sa mga tool ng malware ng CostaRicto ay idinisenyo upang manloko ng mga lehitimong domain - ginagaya ng sirang 'sbidb.net' na domain ang domain ng State Bank of India Bangladesh, na 'sbidb.com.' Ang isang nakakagulat na katotohanan na maaaring hindi sinasadya ay ang muling paggamit ng CostaRicto ng isang IP address na naobserbahan sa isang kampanya sa phishing na isinagawa ng isa pang grupo ng hacker dati - ang aktor ng pagbabanta ng APT na kilala bilang APT28 .

Bilang isang grupo ng mga hacker na nag-aalok ng kanilang mga serbisyo sa pinakamataas na nagbabayad na kliyente, ang mga operasyon ng CostaRicto ay maaaring masubaybayan sa mga biktima sa buong mundo. Natukoy ang mga target sa China, US, Australia, Austria, Netherlands, Singapore, France, India, Mozambique, Singapore at Portugal. Ang tanging pattern na maaaring hulaan ay isang bahagyang mas mataas na konsentrasyon ng mga nakompromisong makina sa rehiyon ng Timog-Asya.