El nuevo grupo de hack-for-Employ &#39CostaRicto&#39 apunta a …



El grupo de mercenarios APT utiliza malware a medida y una sólida seguridad operativa para apuntar a una variedad de organizaciones, ubicadas principalmente en el sudeste asiático.

Un nuevo grupo de piratería para alquiler ha estado empleando malware personalizado en ataques dirigidos a víctimas dispares en todo el mundo, con la mayor concentración en el sur de Asia, informan los investigadores de BlackBerry.

Este grupo de mercenarios de amenaza persistente avanzada (APT), apodado «CostaRicto» por el equipo de investigación e inteligencia de BlackBerry, se ha dirigido a organizaciones en países de Europa, América, África, Australia y Asia, particularmente en India, Bangladesh y Singapur. Si bien CostaRicto ha estado en el radar del equipo desde enero de 2020, estima que ha estado activo desde finales de 2019.

El surgimiento de este grupo subraya una tendencia más amplia de grupos APT mercenarios que aparecen en el panorama de amenazas. Las tácticas, técnicas y procedimientos (TTP) de estos atacantes se asemejan a los que se ven en los ataques avanzados del Estado-nación, pero los perfiles y geografías de sus víctimas son demasiado diversos para alinearse con los objetivos de un solo atacante.

Considere CostaRicto, que utiliza una combinación de malware a medida y herramientas listas para usar para infiltrarse en las organizaciones objetivo. Tom Bonner, distinguido investigador de amenazas de BlackBerry, dice que los aspectos más interesantes de sus operaciones son SombRAT, una nueva puerta trasera personalizada que surgió en octubre de 2019, y CostaBricks, un cargador de carga útil personalizado basado en máquinas virtuales.

«No hemos visto (SombRAT) antes no se relaciona con ningún otro actor que hayamos observado anteriormente», dice Bonner. También es una puerta trasera «bastante interesante», continúa, señalando que está escrito en C ++, un rasgo que hace que sea «espantoso separarlo y atravesarlo».

Una vez que los miembros del grupo obtienen acceso a un entorno objetivo, tienen cuidado al implementar este malware, explica. La puerta trasera nunca residirá en el sistema de archivos sin cifrar. Los atacantes hacen todo lo posible para asegurarse de que los binarios que están usando aparezcan solo en la memoria. Su creación de un cargador basado en máquinas virtuales en CostaBricks es otra señal del nivel de habilidad de los atacantes.

«Realmente están poniendo muchas capas de ofuscación sobre su malware … para intentar evadir la detección de los productos antivirus y EDR, y otros análisis de monitoreo o comportamiento en el sistema», dice Bonner. La seguridad operativa también es sólida: sus servidores de comando y control se administran a través de Tor y / o una capa de proxies, y crea una purple compleja de túneles SSH en el entorno de la víctima.

en un redacción de sus hallazgos En CostaRicto, los investigadores dicen que el desarrollo constante de sus herramientas, el sistema de regulate de versiones detallado y el código bien estructurado que permiten la expansión de la funcionalidad indican que el conjunto de herramientas del grupo es parte de un proyecto a largo plazo en lugar de una campaña única. Eric Milam, vicepresidente de operaciones de investigación de BlackBerry, anticipa que podrían estar preparándose para un ataque a gran escala. En este momento, no está claro exactamente cuáles son sus motivaciones.

«Parece que están sentando las bases para algo más grande», dice, señalando que gran parte de su actividad estaba destinada a ocultar el movimiento lateral, ocultar la exfiltración de datos y otras tareas.

SombRAT indica que el grupo está bien financiado y tiene un nivel de sofisticación más allá de simplemente tomar cosas del estante, aunque también united states of america los módulos de inyección de PE reflectantes de PowerSploit, el escáner de puertos nmap y PsExec en sus operaciones. Al igual que con otros grupos de piratería informática, el malware personalizado y otras técnicas nuevas pueden desviar a los investigadores de los atacantes.

«Nos hace la vida mucho más difícil intentar rastrear a los actores de amenazas originales, una vez que se han comprometido con los mercenarios para llevar a cabo sus ataques», explica Bonner. «De repente nos enfrentamos a nuevos TTP e indicadores y cosas así no se parecen a las campañas conocidas anteriores que hemos monitoreado». Estos factores, combinados con una segmentación dispar en varias geografías, pueden hacer que la ya difícil tarea de la atribución sea aún más desafiante.

El patrón creciente de las organizaciones de piratería para contratar
El crecimiento de la ciberdelincuencia organizada ha permitido a los atacantes especializarse y beneficiarse de aquello en lo que son buenos. Algunos son expertos en desarrollar aplicaciones de ransomware otros son útiles para ingresar a proveedores de servicios de seguridad administrados. Esto les permite ayudarse mutuamente a realizar ataques más efectivos.

Las operaciones de pirateo para alquiler han surgido de esta tendencia y están preparadas para seguir creciendo. Si bien ayudan a los atacantes avanzados a ocultar su actividad, esa no es la única razón, dice Milam.

«Siempre me imagino a esta gente como una organización muy parecida a las demás, donde hay diferentes proyectos y diferentes líderes», explica. «Creo que es más fácil para los atacantes subcontratar cosas a una entidad de confianza, y creo que veremos que muchos más estados nacionales lo hacen».

Los investigadores notaron varias similitudes entre CostaRicto y Bahamut, otro grupo mercenario involucrado en ataques dirigidos a empresas y funcionarios gubernamentales en el Medio Oriente y el sur de Asia. Al igual que en Bahamut, CostaRicto tiene objetivos claros, tiene una sólida seguridad operativa y utiliza malware a medida en sus ataques. «Todos huelen mucho a Bahamut», dice, especialmente considerando la región, pero los investigadores no pudieron conectar definitivamente los dos grupos.

«Los trazos de alto nivel parecen ser todos iguales», dice Milam. «Parecen estar trabajando en la misma región (y tienen) objetivos completamente dispares que no tienen sentido. Los estados-nación generalmente tienen una rima o una razón para atacar de la forma en que atacan, más obviamente por motivos geopolíticos. Estas personas parecen estar dispuesto a asumir cualquier objetivo por el que se pague «.

Kelly Sheridan es la editora de own de Darkish Studying, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first