CostaRicto APT

CostaRicto 是一個黑客組織的名稱，該組織顯然是作為僱傭兵運營並提供僱傭服務。它的活動被黑莓的信息安全專家發現，他們發現了一場廣泛的間諜活動。這種"僱傭黑客"組織越來越多地出現在網絡犯罪黑社會中，因為他們擁有與國家資助的高級持續威脅 (APT) 組織相當的能力和工具，但可以在全球範圍內跨多個行業部門運作根據客戶的需求。

CostaRicto 使用定制的惡意軟件威脅工具集，這些威脅要么是由黑客自己創建的，要么是專門委託的。在網絡間諜活動中，黑客根據目標計算機的架構部署了兩種加載器類型，一種稱為 SombRAT、HTTP 和反向 DNS 負載分流器的獨特後門惡意軟件，端口掃描器"nmap"和 PsExec。對於 32 位系統，黑客使用 CostaBricks——一種自定義加載器，它實現了一種虛擬機機制，該機制啟動負責描述、加載到內存中和執行惡意軟件負載的字節碼。如果目標使用 64 位系統，CostaRicto 會部署不同的加載程序——PowerSploit 的反射 PE 注入模塊。

攻擊鏈最有可能始於使用通過網絡釣魚收集的或簡單地在暗網上購買的憑據。然後，CostaRicto 與戰役的命令與控制（C&C，C2）基礎設施建立了通信渠道，通過 TOR 網絡或代理系統進行管理。為了在受感染網絡內進行通信，創建了一個 SSH 隧道系統。發現被硬編碼到 CostaRicto 惡意軟件工具中的某些域名旨在欺騙合法域 - 損壞的"sbidb.net"域模仿了孟加拉國家銀行的域"sbidb.com"。一個可能是偶然的奇怪事實是，CostaRicto 重複使用了一個 IP 地址，該 IP 地址在之前由另一個黑客組織（稱為APT28的 APT 威脅參與者）進行的網絡釣魚活動中被觀察到。

作為一群向收入最高的客戶提供服務的黑客，CostaRicto 的操作可以追溯到世界各地的受害者。目標已在中國、美國、澳大利亞、奧地利、荷蘭、新加坡、法國、印度、莫桑比克、新加坡和葡萄牙確定。唯一可以推測的模式是南亞地區受感染機器的集中度略高。