Costaricto APT:定制恶意软件工具及复杂 VPN 代理和 SSH 隧道功能

Andrew 2020-11-13
专栏 - 资讯 发布于 2020-11-13 13:48:14 阅读 72 评论 0

BlackBerry研究人员已经记录了一个名为“CostaRicto”的雇用黑客组织的活动,该组织已使用以前未记录的恶意软件发现,针对的是南亚金融机构和全球娱乐公司。

“在过去六个月中,BlackBerry Research and Intelligence团队一直在监视针对全球不同受害者的网络间谍活动。” 读取BlackBerry发布的分析。“该活动被BlackBerry称为CostaRicto,似乎是由“聘用黑客”组织的,这是一群拥有定制恶意软件工具以及复杂的VPN代理和SSH隧道功能的APT雇佣兵。”

CostaRicto瞄准了世界各地的实体,其中大部分位于印度、孟加拉国、新加坡和中国,这表明威胁参与者可能位于南亚。

使用盗窃的凭证获得对目标基础结构的访问权限后,网络雇佣兵便建立了SSH隧道来下载后门和称为CostaBricks的有效负载加载程序。CostaBricks是一个基于VM的自定义有效负载加载程序,它执行嵌入的字节码来解码有效负载并将其直接注入目标系统的内存中。

使用CostaBricks加载程序观察到CostaRicto提供了一个名为SombRAT的C ++编译可执行文件(名称来自《守望先锋》游戏角色Sombra)。

后门实现了模块化结构,实现了RAT功能,并能够以插件或独立二进制文件的形式执行其他恶意负载。该恶意软件支持50种不同的命令,并且能够执行多种操作,例如收集系统信息,将恶意DLL注入内存,枚举存储中的文件,泄漏数据,列出和删除进程以及将文件上传到C2。

研究人员分析了SombRAT的六个版本,第一个版本可以追溯到2019年10月,而最新版本则是在8月发现的。专家认为,该恶意软件正在积极开发中。

黑莓(Blackberry)分析师注意到,该组织攻击中使用的IP地址之一与早期的网络钓鱼活动有关,该网络钓鱼活动最初归因于与俄罗斯有关的APT28组织。这种情况表明,Costaricto APT代表其他威胁行为者进行了攻击。

“最后,受害人的多样性和地理位置与特定州发起的竞选活动不符。相反,它是目标的混合,可以由不同实体委托进行的不同任务来解释。” 总结报告。“随着勒索软件即服务(RaaS)的不可否认的成功,网络犯罪市场扩展了其产品组合以在提供的服务列表中添加专门的网络钓鱼和间谍活动也就不足为奇了。将攻击或攻击链的某些部分外包给独立的雇佣军对敌人有很多好处–节省了他们的时间和资源并简化了流程,但是最重要的是,它提供了附加的间接层,有助于保护攻击者的真实身份。威胁演员。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!