0
0
Este grupo de ameaças persistentes de hackers usa seu próprio malware personalizado e requer grande esforço para ocultar sua atividade.
Pesquisadores de segurança da BlackBerry Research estão rastreando um grupo de ciberespionagem apelidado de CostaRicto cujos alvos são extraordinariamente variados, indicando que está vendendo serviços de hackers para outras entidades. O grupo usa seu próprio malware personalizado e uma complexa rede de proxies, VPNs e túneis SSH para ocultar sua atividade.
“Grupos mercenários que oferecem ataques ao estilo APT estão se tornando cada vez mais populares”, disseram os pesquisadores da BlackBerry em seu relatório. “Suas táticas, técnicas e procedimentos (TTPs) muitas vezes se assemelham a campanhas altamente sofisticadas patrocinadas pelo Estado, mas os perfis e a geografia de suas vítimas são muito diversos para estarem alinhados com os interesses de um único ator ruim.”
CostaRicto mira múltiplas indústrias, regiões geográficas
O grupo APT opera desde pelo menos outubro de 2019, mas potencialmente desde 2017, com base em timestamps em amostras de seu programa backdoor exclusivo. Suas vítimas abrangem várias verticais do setor, mas muitas delas são instituições financeiras.
Em termos de geografia, as metas são baseadas em todo o mundo, mas uma concentração tem sido observada no sul da Ásia, especialmente na Índia, Bangladesh e Cingapura, sugerindo que o grupo pode estar baseado e trabalhando para entidades naquela região. A lista de outros países onde as vítimas foram observadas inclui China, EUA, Bahamas, Austrália, Moçambique, França, Holanda, Áustria, Portugal e República Tcheca.
Grupos hackers por aluguel estão na intersecção de duas tendências observadas nos últimos anos: a adoção de técnicas APT por grupos não estatais, incluindo aqueles tradicionalmente associados ao crime cibernético, e a commoditização da ciberespionagem por meio de um novo modelo APT-as-a-service. Essas mudanças no cenário de ameaças desafiam os modelos tradicionais de ameaças e deixam muitas organizações expostas porque não se consideravam um alvo potencial para a ciberespionagem no passado e não têm as defesas necessárias no local. Este ano vimos relatos de grupos mercenários direcionados a escritórios de advocacia, consultorias financeiras e empresas de modelagem 3D, sugerindo que nenhuma organização, independentemente da indústria, pode mais ignorar APTs.
“Com o inegável sucesso do ransomware-as-a-service (RaaS), não é surpresa que o mercado de cibercriminosos tenha expandido seu portfólio para adicionar campanhas dedicadas de phishing e espionagem à lista de serviços oferecidos”, disseram os pesquisadores. “A terceirização de ataques ou certas partes da cadeia de ataque para grupos mercenários não afiliados tem várias vantagens para o adversário — economiza seu tempo e recursos e simplifica os procedimentos, mas o mais importante fornece uma camada adicional de indescrição, o que ajuda a proteger a identidade real do ator de ameaças.”
O instrumento de CostaRicto
Os pesquisadores do BlackBerry não sabem ao certo como o grupo ganha acesso inicial ao ambiente da vítima, mas acredita que pode envolver credenciais roubadas que foram adquiridas através de phishing ou de outros vendedores na dark web. Vender acesso a sistemas comprometidos também é uma prática comum em fóruns subterrâneos.
Uma vez que os atacantes estão na rede da vítima, eles configuram túneis SSH de volta para si mesmos e entregam um conta-gotas de carga via HTTP ou DNS reverso e, em seguida, executá-lo usando uma tarefa programada. Este conta-gotas carrega um trojan backdoor personalizado ou de acesso remoto (RAT) que os atacantes chamam de Sombra. O nome é uma referência a um personagem do jogo Overwatch que é especializado em espionagem e avaliação de inteligência.
Os pesquisadores viram os atacantes usarem um carregador do projeto de código aberto PowerSploit, mas também um conta-gotas personalizado chamado CostaBricks que usa técnicas de máquinas virtuais para injetar código na memória na tentativa de ocultar suas atividades maliciosas de produtos de monitoramento de segurança que estão sendo executados localmente no computador.
“Essa tentativa de ofuscação, embora não nova, é bastante incomum em relação a ataques direcionados”, disseram os pesquisadores. “A virtualização de código tem sido mais prevalente em protetores de software comercial que usam soluções muito mais avançadas; máquinas virtuais mais simples às vezes também são apresentadas em empacotadores maliciosos fora da prateleira usados por crimes financeiros generalizados. Essa implementação em particular, no entanto, é única (há apenas um punhado de amostras no domínio público) e parece ser usada apenas com cargas sombrat — o que nos faz acreditar que é uma ferramenta personalizada que é privada para os atacantes.”
O Sombra, ou SombRAT, backdoor é escrito em C++ que tem uma arquitetura plugin. A ferramenta maliciosa suporta cerca de 50 comandos diferentes, mas é usada principalmente para executar cargas independentes adicionais ou seus próprios plugins, processos de morte, coletar informações do sistema, carregar arquivos para o servidor de comando e controle (C2) e outras ações simples.
A comunicação com a infraestrutura C2 é criptografada com RSA-2048 e feita sobre túneis DNS com subdomínios gerados em tempo real usando um algoritmo personalizado. Os atacantes usam nomes de domínio que se assemelham muito aos legítimos — por exemplo, um que digita um domínio de propriedade do Banco do Estado da Índia. Um dos endereços IP usados pela infraestrutura C2 da CostaRicto foi usado no passado em uma campanha de phishing associada ao grupo russo APT-28, também conhecido como Fancy Bear, mas os pesquisadores do BlackBerry não acham que haja qualquer conexão entre os dois grupos.
Os servidores C2 são gerenciados pelo grupo através da rede de anonimato Tor e uma camada de proxies web, indicando segurança operacional acima da média. O backdoor sombra em si está em constante desenvolvimento, usa um sistema de versionamento detalhado e código bem estruturado, sugerindo que é um projeto de longo prazo mantido por desenvolvedores qualificados.
“Embora, em teoria, os clientes de um APT mercenário possam incluir qualquer um que possa pagar, os atores mais sofisticados naturalmente escolherão trabalhar com clientes de alto perfil — sejam grandes organizações, indivíduos influentes ou até mesmo governos”, disseram os pesquisadores da BlackBerry. “Tendo muito em jogo, os cibercriminosos devem escolher com muito cuidado ao selecionar suas comissões para evitar o risco de serem expostos.”
FONTE: CSO