Οι ερευνητές της Blackberry ανακάλυψαν μια hackers-for-hire ομάδα, την CostaRicto APT, η οποία στοχεύει χρηματοοικονομικά ιδρύματα της Νότιας Ασίας και εταιρείες ψυχαγωγίας σε όλο τον κόσμο.
“Τους τελευταίους έξι μήνες, η ερευνητική ομάδα της BlackBerry παρακολουθεί μια εκστρατεία κατασκοπείας στον κυβερνοχώρο, που στοχεύει διαφορετικά θύματα σε όλο τον κόσμο“, λένε οι ερευνητές .
Η BlackBerry ονόμασε αυτήν την ομάδα (και την εκστρατεία τους) CostaRicto και λέει ότι πρόκειται για μια APT ομάδα που διαθέτει εξατομικευμένα malware εργαλεία και σύνθετες VPN proxy και SSH tunneling δυνατότητες.
Η CostaRicto στοχεύει οργανισμούς σε όλο τον κόσμο. Ωστόσο, οι περισσότερες επιθέσεις έχουν εντοπιστεί σε Ινδία, Μπαγκλαντές, Σιγκαπούρη και Κίνα. Αυτό μπορεί να δείχνει ότι η APT ομάδα εδρεύει στη Νότια Ασία.
Πώς λειτουργεί η APT ομάδα Costaricto;
Οι επιτιθέμενοι αποκτούν πρόσβαση στην υποδομή του στόχου χρησιμοποιώντας κλεμμένα credentials και δημιουργούν ένα SSH tunnel για τη λήψη ενός backdoor και ενός payload loader που ονομάζεται CostaBricks. Το CostaBricks είναι ένα custom VM-based payload loader που εκτελεί ένα ενσωματωμένο bytecode για την αποκωδικοποίηση και την “έγχυση” του payload απευθείας στη μνήμη του συστήματος-στόχου.
Επίσης, οι ερευνητές ανακάλυψαν ότι η CostaRicto χρησιμοποιεί το CostaBricks loader για να παραδώσει ένα C++ compiled εκτελέσιμο που ονομάζεται SombRAT.
Το backdoor διαθέτει λειτουργίες RAT και είναι σε θέση να εκτελέσει άλλα κακόβουλα payloads, με τη μορφή plugins ή standalone binaries. Οι ερευνητές είπαν ότι το malware υποστηρίζει 50 διαφορετικές εντολές και μπορεί να εκτελεί πολλαπλές ενέργειες (συλλογή πληροφοριών συστήματος, “έγχυση” κακόβουλων DLL στη μνήμη, απομάκρυνση δεδομένων, διακοπή διαδικασιών, μεταφόρτωση αρχείων στο C2 κλπ).
Η Blackberry έχει αναλύσει έξι εκδόσεις του SombRAT. Η πρώτη έκδοση εμφανίστηκε τον Οκτώβριο του 2019, ενώ η τελευταία παραλλαγή εντοπίστηκε τον Αύγουστο του 2020. Οι ειδικοί πιστεύουν ότι το κακόβουλο λογισμικό εξακολουθεί να αναπτύσσεται.
Οι αναλυτές παρατήρησαν ότι μία από τις διευθύνσεις IP που χρησιμοποιήθηκαν στις επιθέσεις της Costaricto, έχει συνδεθεί με μια προηγούμενη phishing εκστρατεία που είχε αρχικά συνδεθεί με τη ρωσική ομάδα APT28.
Αυτό σημαίνει ότι η Costaricto APT μπορεί να πραγματοποιεί επιθέσεις για λογαριασμό άλλων εγκληματιών.
Οι ερευνητές λένε ότι η ποικιλομορφία των θυμάτων και οι διαφορετικές τοποθεσίες (που στοχεύουν) δείχνουν ότι οι επιθέσεις δεν υποστηρίζονται από ένα συγκεκριμένο κράτος-κυβέρνηση. “Με την αδιαμφισβήτητη επιτυχία του Ransomware-as-a-Service (RaaS), δεν προκαλεί έκπληξη το γεγονός ότι οι εγκληματίες του κυβερνοχώρου επεκτείνουν το portfolio τους για να προσθέσουν ειδικές phishing καμπάνιες και εκστρατείες κατασκοπείας στη λίστα των προσφερόμενων υπηρεσιών“.
Πηγή: securityaffairs.co