Một hoạt động cho thuê tin tặc đã bị phát hiện sử dụng một loạt phần mềm độc hại không có giấy tờ trước đây để nhắm mục tiêu vào các tổ chức tài chính Nam Á và các công ty giải trí toàn cầu.
Được mệnh danh là “CostaRicto“của các nhà nghiên cứu Blackberry, chiến dịch này dường như là công việc của những người lính đánh thuê APT, những người sở hữu công cụ phần mềm độc hại theo yêu cầu riêng và khả năng tạo đường hầm SSH và proxy VPN phức tạp.
“Các mục tiêu của CostaRicto nằm rải rác trên các quốc gia khác nhau ở châu Âu, châu Mỹ, châu Á, Úc và châu Phi, nhưng tập trung lớn nhất dường như là ở Nam Á (đặc biệt là Ấn Độ, Bangladesh và Singapore và Trung Quốc), cho thấy rằng tác nhân đe dọa có thể dựa vào đó các nhà nghiên cứu cho biết, nhưng đang làm việc dựa trên nhiều loại tiền hoa hồng từ các khách hàng khác nhau.
Bản thân modus operandi khá dễ hiểu. Khi có được chỗ đứng ban đầu trong môi trường của mục tiêu thông qua thông tin đăng nhập bị đánh cắp, kẻ tấn công tiến hành thiết lập đường hầm SSH để tải xuống một cửa hậu và một trình tải trọng gọi là CostaBricks thực hiện cơ chế máy ảo C ++ để giải mã và đưa tải trọng bytecode vào bộ nhớ.
Ngoài việc quản lý các máy chủ lệnh và điều khiển (C2) thông qua Đường hầm DNS, backdoor được cung cấp bởi các trình tải nói trên là tệp thực thi được biên dịch C ++ được gọi là SombRAT – được đặt tên theo Sombra, một hacker người Mexico và là kẻ xâm nhập từ trò chơi nhiều người chơi nổi tiếng Overwatch.
Cửa hậu được trang bị 50 lệnh khác nhau để thực hiện các tác vụ cụ thể (có thể được phân loại trong các chức năng lõi, tác vụ, cấu hình, lưu trữ, gỡ lỗi, mạng) bao gồm từ việc đưa các tệp DLL độc hại vào bộ nhớ để liệt kê các tệp trong bộ nhớ để lấy dữ liệu đã thu một máy chủ do kẻ tấn công kiểm soát.
Tổng cộng, sáu phiên bản của SombRAT đã được xác định, với phiên bản đầu tiên có niên đại từ tháng 10 năm 2019 và biến thể mới nhất được quan sát vào đầu tháng 8 này, ngụ ý rằng backdoor đang được phát triển tích cực.
Trong khi danh tính của những kẻ gian đằng sau hoạt động này vẫn chưa được xác định, một trong những địa chỉ IP mà các miền backdoor đã được đăng ký đã được liên kết với một chiến dịch lừa đảo trước đó được cho là do Nga liên kết APT28 nhóm hack, ám chỉ khả năng các chiến dịch lừa đảo có thể đã được thuê ngoài cho lính đánh thuê thay mặt cho kẻ đe dọa thực sự.
Đây là hoạt động cho thuê tin tặc thứ hai do Blackberry phát hiện, lần đầu tiên là một loạt các chiến dịch của một nhóm có tên Bahamut đã được phát hiện để khai thác lỗ hổng zero-day, phần mềm độc hại và hoạt động sai lệch thông tin để theo dõi các mục tiêu ở Trung Đông và Nam Á.
Các nhà nghiên cứu của Blackberry cho biết: “Với thành công không thể phủ nhận của Ransomware-as-a-Service (RaaS), không có gì ngạc nhiên khi thị trường tội phạm mạng đã mở rộng danh mục đầu tư của mình để thêm các chiến dịch gián điệp và lừa đảo chuyên dụng vào danh sách các dịch vụ được cung cấp”.
“Thuê ngoài các cuộc tấn công hoặc các phần nhất định của chuỗi tấn công cho các nhóm lính đánh thuê không liên kết có một số lợi thế cho kẻ thù – nó tiết kiệm thời gian và tài nguyên của họ và đơn giản hóa các thủ tục, nhưng quan trọng nhất là nó cung cấp thêm một lớp định hướng, giúp bảo vệ danh tính thực của tác nhân đe dọa. “
