CostaRicto APT

CostaRictoは、明らかに傭兵として活動し、彼らのサービスを雇うために提供しているハッカーグループに付けられた名前です。その活動は、BlackBerryのinfosec専門家によって検出されました。彼は、広範囲のスパイキャンペーンを発見しました。このような「ハッカー・フォー・ハイヤー」グループは、国家が後援するAdvanced Persistent Threat（APT）グループと同等の機能とツールを備えているが、複数の業界セクターにわたって世界規模で活動できるため、サイバー犯罪の地下世界にますます登場しています。クライアントのニーズに応じて。

CostaRictoは、ハッカー自身によって作成された、または独占的に委託されたカスタムビルドのマルウェア脅威のツールセットを採用しています。サイバースパイキャンペーンでは、ハッカーは、標的となるコンピューターのアーキテクチャに応じて2種類のローダー、SombRAT、HTTP、逆引きDNSペイロードステージャーと呼ばれるバックドアマルウェア、ポートスキャナー「nmap」、およびPsExecを展開しました。 32ビットシステムの場合、ハッカーはCostaBricksを使用します。これは、マルウェアペイロードの説明、メモリへのロード、および実行を担当するバイトコードを開始する仮想マシンメカニズムを実装するカスタムローダーです。ターゲットが64ビットシステムを使用している場合、CostaRictoは別のローダー（PowerSploitのリフレクティブPEインジェクションモジュール）をデプロイします。

攻撃チェーンは、おそらく、フィッシングを通じて収集された、または単にダークWebで購入された収集された資格情報の使用から始まります。次に、CostaRictoは、TORネットワークまたはプロキシシステムを介して管理される、キャンペーンのコマンドアンドコントロール（C＆C、C2）インフラストラクチャとの通信チャネルを設定しました。侵害されたネットワーク内の通信のために、SSHトンネルのシステムが作成されます。 CostaRictoのマルウェアツールにハードコードされていることが判明した特定のドメイン名は、正当なドメインを偽装するように設計されています。破損した「sbidb.net」ドメインは、バングラデシュのインドステイト銀行のドメインである「sbidb.com」を模倣しています。偶然の可能性がある奇妙な事実は、以前に別のハッカーグループ（APT28として知られるAPT脅威アクター）によって実施されたフィッシングキャンペーンで観察されたIPアドレスのCostaRictoの再利用です。

高額の支払いをしているクライアントにサービスを提供するハッカーのグループであるCostaRictoの活動は、世界中の被害者にまでさかのぼることができます。ターゲットは、中国、米国、オーストラリア、オーストリア、オランダ、シンガポール、フランス、インド、モザンビーク、シンガポール、ポルトガルで特定されています。推測できる唯一のパターンは、南アジア地域での侵害されたマシンの集中度がわずかに高いことです。