CostaRicto APT

CostaRicto est le nom donné à un groupe de hackers qui opère apparemment en tant que mercenaire et propose ses services à la location. Ses activités ont été détectées par les experts infosec de BlackBerry, qui ont découvert une vaste campagne d'espionnage. De tels groupes de "pirates pour compte d'autrui'' apparaissent de plus en plus dans le monde souterrain de la cybercriminalité car ils possèdent des capacités et des outils comparables à ceux des groupes de menaces persistantes avancées (APT) parrainés par l'État, mais peuvent opérer au niveau mondial dans plusieurs secteurs industriels. en fonction des besoins de leurs clients.

CostaRicto utilise un ensemble d'outils de menaces de logiciels malveillants personnalisées qui ont été soit créées par les pirates eux-mêmes, soit commandées exclusivement. Dans la campagne de cyber-espionnage, les pirates ont déployé deux types de chargeurs en fonction de l'architecture de l'ordinateur ciblé, une souche unique de malware de porte dérobée appelée SombRAT, HTTP et reverse-DNS payload stagers, un scanner de port "nmap'' et PsExec. Pour les systèmes 32 bits, les pirates utilisent CostaBricks - un chargeur personnalisé qui implémente un mécanisme de machine virtuelle qui lance un bytecode responsable de la description, du chargement en mémoire et de l'exécution de la charge utile du malware. Si la cible utilise un système 64 bits, CostaRicto déploie un autre chargeur - le module d'injection PE réfléchissant de PowerSploit.

La chaîne d'attaque commence, très probablement, par l'utilisation d'informations d'identification collectées par hameçonnage ou simplement achetées sur le Dark Web. Ensuite, CostaRicto a mis en place le canal de communication avec l'infrastructure Command-and-Control (C&C, C2) de la campagne, gérée via le réseau TOR ou un système de proxy. Pour la communication au sein du réseau compromis, un système de tunnels SSH est créé. Certains noms de domaine trouvés codés en dur dans les outils malveillants de CostaRicto sont conçus pour usurper des domaines légitimes - le domaine corrompu «sbidb.net» imite le domaine de la State Bank of India Bangladesh, qui est «sbidb.com». Un fait curieux qui pourrait être accidentel est la réutilisation par CostaRicto d'une adresse IP qui a été observée dans une campagne de phishing menée par un autre groupe de pirates auparavant - l'acteur de menace APT connu sous le nom d' APT28.

En tant que groupe de pirates informatiques qui offrent leurs services au client le plus rémunérateur, les opérations de CostaRicto peuvent être retracées aux victimes du monde entier. Des cibles ont été identifiées en Chine, aux États-Unis, en Australie, en Autriche, aux Pays-Bas, à Singapour, en France, en Inde, au Mozambique, à Singapour et au Portugal. Le seul modèle qui pourrait être supposé est une concentration légèrement plus élevée de machines compromises dans la région sud-asiatique.