CostaRicto APT

CostaRicto, görünüşe göre paralı asker olarak faaliyet gösteren ve hizmetlerini kiralık olarak sunan bir hacker grubuna verilen isimdir. Faaliyetleri, geniş kapsamlı bir casusluk kampanyasını ortaya çıkaran BlackBerry'deki bilgi güvenliği uzmanları tarafından tespit edildi. Devlet destekli Gelişmiş Kalıcı Tehdit (APT) gruplarıyla eşit yeteneklere ve araçlara sahip oldukları, ancak birden fazla endüstri sektöründe dünya çapında bir düzeyde faaliyet gösterebildikleri için bu tür 'kiralık bilgisayar korsanları' grupları siber suç yeraltı dünyasında giderek daha fazla ortaya çıkıyor. müşterilerinin ihtiyaçları doğrultusunda.

CostaRicto, bilgisayar korsanlarının kendileri tarafından oluşturulan veya özel olarak görevlendirilen özel olarak oluşturulmuş kötü amaçlı yazılım tehditlerinden oluşan bir araç seti kullanır. Siber casusluk kampanyasında, bilgisayar korsanları, hedeflenen bilgisayarın mimarisine bağlı olarak iki yükleyici türü, SombRAT, HTTP ve ters DNS yük düzenleyicileri, bir bağlantı noktası tarayıcı 'nmap' ve PsExec adlı benzersiz bir arka kapı kötü amaçlı yazılım türü kullandılar. Bilgisayar korsanları, 32 bit sistemler için, kötü amaçlı yazılımın tanımından, belleğe yüklenmesinden ve yürütülmesinden sorumlu bir bayt kodunu başlatan sanal bir makine mekanizması uygulayan özel bir yükleyici olan CostaBricks'i kullanır. Hedef 64 bitlik bir sistem kullanıyorsa, CostaRicto farklı bir yükleyici - PowerSploit'in yansıtıcı PE enjeksiyon modülü - dağıtır.

Saldırı zinciri, büyük olasılıkla, kimlik avı yoluyla toplanan veya yalnızca karanlık Web'den satın alınan toplanan kimlik bilgilerinin kullanılmasıyla başlar. Ardından CostaRicto, kampanyanın Komuta Kontrol (C&C, C2) altyapısı ile TOR ağı veya proxy sistemi üzerinden yönetilen iletişim kanalını kurdu. Güvenliği ihlal edilmiş ağ içindeki iletişim için bir SSH tünel sistemi oluşturulur. CostaRicto'nun kötü amaçlı yazılım araçlarına kodlanmış olduğu tespit edilen belirli alan adları, meşru alan adlarını taklit etmek üzere tasarlanmıştır - bozuk 'sbidb.net' alan adı, Bangladeş Devlet Bankası'nın 'sbidb.com' alan adını taklit eder. Kazara olabilecek ilginç bir gerçek, CostaRicto'nun daha önce başka bir hacker grubu tarafından yürütülen bir kimlik avı kampanyasında gözlemlenen bir IP adresini yeniden kullanmasıdır - APT28 olarak bilinen APT tehdit aktörü.

Hizmetlerini en yüksek ücretli müşteriye sunan bir grup hacker olan CostaRicto'nun operasyonları, dünyanın her yerindeki kurbanlara kadar takip edilebilir. Çin, ABD, Avustralya, Avusturya, Hollanda, Singapur, Fransa, Hindistan, Mozambik, Singapur ve Portekiz'de hedefler belirlendi. Tahmin edilebilecek tek model, Güney Asya bölgesindeki güvenliği ihlal edilmiş makinelerin biraz daha yüksek konsantrasyonudur.