QQ截图20201113142902

揭露:APT 组织“黑客雇用”活动的目标是金融、娱乐公司

  • 浏览次数 27096
  • 喜欢 1
  • 评分 12345

该活动被Blackberry研究人员称为“CostaRicto”,这场运动似乎是APT组织的杰作,他们拥有定制的恶意软件工具和复杂的VPN代理和SSH隧道。

研究人员表示,“CostaRicto的目标分散在欧洲、美洲、亚洲、澳大利亚和非洲的不同国家,但最大的集中似乎在南亚(特别是印度、孟加拉国、新加坡和中国),这表明攻击者可能驻扎在该地区。但是,他们从不同的客户那里获得了广泛的佣金。”

攻击者通过被盗凭证在目标环境中获得了立足之地后,便开始建立SSH隧道以下载后门和称为CostaBricks的有效负载加载器,该负载实现了C ++虚拟机机制来解码并将字节码有效负载注入内存。

除了DNS隧道管理命令与控制(C2)服务器,上述加载器提供的后门是一个名为SombRAT的c++编译可执行文件。

后门配备了50个不同的命令来执行特定任务(可分为core、taskman、config、storage、debug、network函数),从将恶意dll注入内存到枚举存储中的文件,再到将捕获的数据泄漏到攻击者控制的服务器。

1

总共已经确定了6个版本的SombRAT,第一个版本可以追溯到2019年10月,最新的版本在今年8月初观测到,这意味着后门正在积极开发中。

虽然攻击者的身份仍不清楚,但其中一个注册了后门域名的IP地址与早前一次网络钓鱼活动有关,该网络钓鱼活动是由与俄罗斯有关的APT28黑客组织发起的,暗示着网络钓鱼活动有可能被外包给代表攻击者的雇佣兵。

这是Blackberry发现的第二起黑客雇佣行动,第一起是由一个名为Bahamut的组织发起的一系列行动,他们利用零日漏洞、恶意软件和虚假信息来跟踪中东和南亚的目标。

Blackberry研究人员表示:“勒索软件即服务(RaaS)取得了不可否认的成功,因此网络犯罪市场扩大其业务范围,将专门的网络钓鱼和间谍活动添加到服务列表中也就不足为奇了。”

“将攻击或攻击链的某些部分外包给独立的佣兵组织,对攻击者有很多好处——它可以节省自己的时间和资源,简化程序,最重要的是,它利于保护自己的真实身份。”

 

 

 

消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。