Operasi peretas untuk disewa telah ditemukan menggunakan jenis malware yang sebelumnya tidak berdokumen untuk menargetkan lembaga keuangan Asia Selatan dan perusahaan hiburan global.
Dijuluki ” CostaRicto ” oleh peneliti Blackberry, kampanye tersebut tampaknya merupakan hasil karya tentara bayaran APT yang memiliki perangkat lunak perusak yang dipesan lebih dahulu dan proxy VPN yang kompleks serta kemampuan tunneling SSH.
“Target CostaRicto tersebar di berbagai negara di Eropa, Amerika, Asia, Australia dan Afrika, tetapi konsentrasi terbesar tampaknya berada di Asia Selatan (terutama India, Bangladesh dan Singapura dan China), menunjukkan bahwa pelaku ancaman dapat berbasis di sana. wilayah, tetapi mengerjakan berbagai komisi dari klien yang beragam, “kata para peneliti.
Modus operandinya sendiri cukup lurus ke depan. Setelah mendapatkan pijakan awal di lingkungan target melalui kredensial yang dicuri, penyerang melanjutkan untuk menyiapkan terowongan SSH untuk mengunduh pintu belakang dan pemuat muatan yang disebut CostaBricks yang mengimplementasikan mekanisme mesin virtual C ++ untuk mendekode dan menyuntikkan muatan bytecode ke dalam memori.
Selain mengelola server perintah-dan-kontrol (C2) melalui terowongan DNS , pintu belakang yang dikirimkan oleh pemuat yang disebutkan di atas adalah C ++ yang dapat dieksekusi terkompilasi yang disebut SombRAT – dinamai sesuai Sombra , peretas Meksiko, dan penyusup dari game multipemain populer Overwatch.
Pintu belakang dilengkapi dengan 50 perintah berbeda untuk melaksanakan tugas-tugas tertentu (dapat dikategorikan dalam inti, taskman, config, penyimpanan, debug, fungsi jaringan) yang berkisar dari menyuntikkan DLL berbahaya ke dalam memori hingga menghitung file dalam penyimpanan hingga exfiltrasi data yang diambil ke server yang dikendalikan penyerang.
Secara keseluruhan, enam versi SombRAT telah diidentifikasi, dengan versi pertama sejak Oktober 2019 dan varian terbaru diamati awal Agustus ini, menyiratkan bahwa pintu belakang sedang dalam pengembangan aktif.
Meskipun identitas penjahat di balik operasi tersebut masih belum diketahui, salah satu alamat IP yang didaftarkan domain pintu belakang telah ditautkan ke kampanye phishing sebelumnya yang dikaitkan dengan grup peretasan APT28 yang terkait dengan Rusia , mengisyaratkan kemungkinan bahwa kampanye phishing bisa saja dialihkan ke tentara bayaran atas nama aktor ancaman yang sebenarnya.
Ini adalah operasi peretas sewaan kedua yang ditemukan oleh Blackberry, yang pertama adalah serangkaian kampanye oleh sebuah kelompok bernama Bahamut yang ditemukan mengeksploitasi kelemahan zero-day, perangkat lunak berbahaya, dan operasi disinformasi untuk melacak target yang terletak di Timur Tengah. dan Asia Selatan.
“Dengan kesuksesan Ransomware-as-a-Service (RaaS) yang tidak dapat disangkal, tidak mengherankan bahwa pasar penjahat dunia maya telah memperluas portofolionya untuk menambahkan kampanye phishing dan spionase khusus ke daftar layanan yang ditawarkan,” kata peneliti Blackberry.
“Serangan outsourcing atau bagian tertentu dari rantai serangan ke kelompok tentara bayaran yang tidak terafiliasi memiliki beberapa keuntungan bagi musuh – ini menghemat waktu dan sumber daya mereka dan menyederhanakan prosedur, tetapi yang paling penting ini memberikan lapisan tambahan tipuan, yang membantu melindungi identitas sebenarnya aktor ancaman. “