CostaRicto APT

CostaRicto 是一个黑客组织的名称，该组织显然是作为雇佣兵运营并提供雇佣服务。它的活动被黑莓的信息安全专家发现，他们发现了一场广泛的间谍活动。这种"雇佣黑客"组织越来越多地出现在网络犯罪黑社会中，因为他们拥有与国家资助的高级持续威胁 (APT) 组织相当的能力和工具，但可以在全球范围内跨多个行业部门运作根据客户的需求。

CostaRicto 使用定制的恶意软件威胁工具集，这些威胁要么是由黑客自己创建的，要么是专门委托的。在网络间谍活动中，黑客根据目标计算机的架构部署了两种加载器类型，一种称为 SombRAT、HTTP 和反向 DNS 负载分流器的独特后门恶意软件，端口扫描器"nmap"和 PsExec。对于 32 位系统，黑客使用 CostaBricks——一种自定义加载器，它实现了一种虚拟机机制，该机制启动负责描述、加载到内存中和执行恶意软件负载的字节码。如果目标使用 64 位系统，则 CostaRicto 会部署不同的加载程序——PowerSploit 的反射 PE 注入模块。

攻击链最有可能始于使用通过网络钓鱼收集的或简单地在暗网上购买的凭据。然后，CostaRicto 与战役的命令与控制（C&C，C2）基础设施建立了通信渠道，通过 TOR 网络或代理系统进行管理。为了在受感染网络内进行通信，创建了一个 SSH 隧道系统。发现被硬编码到 CostaRicto 恶意软件工具中的某些域名旨在欺骗合法域 - 损坏的"sbidb.net"域模仿了孟加拉国家银行的域"sbidb.com"。一个可能是偶然的奇怪事实是，CostaRicto 重复使用了一个 IP 地址，该 IP 地址在之前由另一个黑客组织（称为APT28的 APT 威胁参与者）进行的网络钓鱼活动中被观察到。

作为一群向收入最高的客户提供服务的黑客，CostaRicto 的操作可以追溯到世界各地的受害者。目标已在中国、美国、澳大利亚、奥地利、荷兰、新加坡、法国、印度、莫桑比克、新加坡和葡萄牙确定。唯一可以推测的模式是南亚地区受感染机器的集中度略高。