Se ha descubierto una operación de hackers a sueldo que utiliza una variedad de malware previamente no documentado para apuntar a instituciones financieras del sur de Asia y compañías de entretenimiento globales.

Apodada «CostaRicto» por los investigadores de Blackberry, la campaña parece ser obra de mercenarios de APT que poseen herramientas de malware a medida y complejas capacidades de túnel SSH y proxy VPN.

«Los objetivos de CostaRicto están dispersos en diferentes países de Europa, América, Asia, Australia y África, pero la mayor concentración parece estar en el sur de Asia (especialmente India, Bangladesh y Singapur y China), lo que sugiere que el actor de la amenaza podría estar basado en eso». región, pero trabajando en una amplia gama de encargos de diversos clientes «, dijeron los investigadores.

El modus operandi en sí mismo es bastante sencillo. Al obtener un punto de apoyo inicial en el entorno del objetivo a través de credenciales robadas, el atacante procede a configurar un túnel SSH para descargar una puerta trasera y un cargador de carga útil llamado CostaBricks que implementa un mecanismo de máquina virtual C ++ para decodificar e inyectar la carga útil del código de bytes en la memoria. .

Además de administrar servidores de comando y control (C2) a través de túneles DNS, la puerta trasera proporcionada por los cargadores mencionados anteriormente es un ejecutable compilado en C ++ llamado SombRAT – llamado así por Sombra, un hacker mexicano e infiltrado del popular juego multijugador Overwatch.

El backdoor viene equipado con 50 comandos diferentes para llevar a cabo tareas específicas (se pueden categorizar en core, taskman, config, storage, debug, network functions) que van desde inyectar archivos DLL maliciosos en la memoria hasta enumerar archivos almacenados y exfiltrar los datos capturados para un servidor controlado por un atacante.

En total, se han identificado seis versiones de SombRAT, con la primera versión que data de octubre de 2019 y la última variante observada a principios de agosto, lo que implica que la puerta trasera está en desarrollo activo.

Si bien aún se desconocen las identidades de los delincuentes detrás de la operación, una de las direcciones IP en las que se registraron los dominios de puerta trasera se vinculó a una campaña de phishing anterior atribuida al grupo de piratería APT28 vinculado a Rusia, lo que sugiere la posibilidad de que las campañas de phishing podría haber sido subcontratado al mercenario en nombre del actor de amenazas real.

Esta es la segunda operación de hackers a sueldo descubierta por Blackberry, la primera es una serie de campañas de un grupo llamado Bahamut que se descubrió que explota fallas de día cero, software malicioso y operaciones de desinformación para rastrear objetivos ubicados en el Medio Oriente. y el sur de Asia.

«Con el innegable éxito de Ransomware-as-a-Service (RaaS), no sorprende que el mercado de los ciberdelincuentes haya ampliado su cartera para agregar campañas dedicadas de phishing y espionaje a la lista de servicios que se ofrecen», dijeron los investigadores de Blackberry.

«La subcontratación de ataques o ciertas partes de la cadena de ataque a grupos de mercenarios no afiliados tiene varias ventajas para el adversario: ahorra tiempo y recursos y simplifica los procedimientos, pero lo más importante es que proporciona una capa adicional de indirección, que ayuda a proteger la identidad real. del actor de amenazas”.