CostaRicto APT

CostaRicto - це назва хакерської групи, яка, очевидно, працює як найманець і пропонує свої послуги за найм. Його діяльність була виявлена експертами Infosec з BlackBerry, які розкрили широкомасштабну шпигунську кампанію. Такі групи «хакерів за наймом» з’являються все частіше в кібер-злочинному світі, оскільки вони володіють можливостями та інструментами на рівні зі спонсорованими державою групами Advanced Persistent Threat (APT), але можуть діяти на світовому рівні в багатьох галузях промисловості. відповідно до потреб своїх клієнтів.

CostaRicto використовує набір інструментів спеціально створених зловмисних загроз, які були створені самими хакерами або були замовлені виключно. Під час кампанії кібершпигунства хакери розгорнули два типи завантажувачів залежно від архітектури цільового комп’ютера, унікальний тип бекдорного шкідливого програмного забезпечення, який називається SombRAT, HTTP і реверсивні DNS, сканер портів nmap і PsExec. Для 32-розрядних систем хакери використовують CostaBricks - користувацький завантажувач, який реалізує механізм віртуальної машини, який ініціює байт-код, відповідальний за опис, завантаження в пам'ять і виконання корисного навантаження шкідливого програмного забезпечення. Якщо ціль використовує 64-розрядну систему, CostaRicto розгортає інший завантажувач - відбиваючий модуль PE injection PowerSploit.

Ланцюжок атак починається, швидше за все, з використання зібраних облікових даних, зібраних за допомогою фішингу або просто куплених у темній мережі. Потім CostaRicto налаштувала канал зв’язку з інфраструктурою командування та управління (C&C, C2) кампанії, керованої через мережу TOR або систему проксі. Для зв'язку всередині скомпрометованої мережі створюється система тунелів SSH. Деякі доменні імена, які жорстко закодовані в інструментах зловмисного програмного забезпечення CostaRicto, призначені для підробки законних доменів – пошкоджений домен sbidb.net імітує домен Державного банку Індії Бангладеш, який називається sbidb.com. Цікавим фактом, який може бути випадковим, є повторне використання CostaRicto IP-адреси, яке було помічено під час фішингової кампанії, проведеної іншою групою хакерів раніше – учасником загроз APT, відомим як APT28 .

Будучи групою хакерів, які пропонують свої послуги найбільш високооплачуваним клієнтам, операції CostaRicto можна простежити до жертв по всьому світу. Цілі були визначені в Китаї, США, Австралії, Австрії, Нідерландах, Сінгапурі, Франції, Індії, Мозамбіку, Сінгапурі та Португалії. Єдина закономірність, яку можна припустити, це дещо більша концентрація скомпрометованих машин у Південно-Азіатському регіоні.