CostaRicto APT

CostaRicto ist der Name einer Hacker-Gruppe, die offenbar als Söldner tätig ist und ihre Dienste zum Mieten anbietet. Seine Aktivitäten wurden von den Infosec-Experten von BlackBerry entdeckt, die eine weitreichende Spionagekampagne aufgedeckt haben. Solche "Hacker-for-Hire" -Gruppen tauchen immer häufiger in der Unterwelt der Cyberkriminalität auf, da sie über Fähigkeiten und Tools verfügen, die mit staatlich geförderten APT-Gruppen (Advanced Persistent Threat) vergleichbar sind, jedoch weltweit in mehreren Branchen tätig sein können in Übereinstimmung mit den Bedürfnissen ihrer Kunden.

CostaRicto verwendet ein Toolset mit benutzerdefinierten Malware-Bedrohungen, die entweder von den Hackern selbst erstellt oder ausschließlich in Auftrag gegeben wurden. In der Cyberspionage-Kampagne stellten die Hacker je nach Architektur des Zielcomputers zwei Loader-Typen bereit, eine einzigartige Sorte von Backdoor-Malware namens SombRAT, HTTP und Reverse-DNS-Payload-Stager, einen Port-Scanner 'nmap' und PsExec. Für 32-Bit-Systeme verwenden die Hacker CostaBricks - einen benutzerdefinierten Loader, der einen Mechanismus für virtuelle Maschinen implementiert, der einen Bytecode initiiert, der für die Beschreibung, das Laden in den Speicher und die Ausführung der Malware-Nutzdaten verantwortlich ist. Wenn das Ziel ein 64-Bit-System verwendet, setzt CostaRicto einen anderen Loader ein - das reflektierende PE-Injektionsmodul von PowerSploit.

Die Angriffskette beginnt höchstwahrscheinlich mit der Verwendung gesammelter Anmeldeinformationen, die durch Phishing gesammelt oder einfach im dunklen Internet gekauft wurden. Anschließend richtete CostaRicto den Kommunikationskanal mit der Command-and-Control-Infrastruktur (C & C, C2) der Kampagne ein, die über das TOR-Netzwerk oder ein Proxysystem verwaltet wird. Für die Kommunikation innerhalb des gefährdeten Netzwerks wird ein System von SSH-Tunneln erstellt. Bestimmte Domain-Namen, die in den Malware-Tools von CostaRicto fest codiert sind, sollen legitime Domains fälschen - die beschädigte Domain "sbidb.net" ahmt die Domain der State Bank of India Bangladesh nach, die "sbidb.com" heißt. Eine merkwürdige Tatsache, die zufällig sein könnte, ist die Wiederverwendung einer IP-Adresse durch CostaRicto, die in einer Phishing-Kampagne beobachtet wurde, die zuvor von einer anderen Hacker-Gruppe durchgeführt wurde - dem als APT28 bekannten APT-Bedrohungsakteur.

Als eine Gruppe von Hackern, die ihre Dienste dem bestbezahlten Kunden anbieten, können die Aktivitäten von CostaRicto auf Opfer auf der ganzen Welt zurückgeführt werden. Ziele wurden in China, den USA, Australien, Österreich, den Niederlanden, Singapur, Frankreich, Indien, Mosambik, Singapur und Portugal identifiziert. Das einzige Muster, das vermutet werden könnte, ist eine etwas höhere Konzentration kompromittierter Maschinen im südasiatischen Raum.