黑莓的安全团队今天公布了他们今年早些时候发现的一个新的黑客雇佣兵组织的详细信息,他们把这个组织与世界各地的受害者的攻击联系在一起。
这个被黑莓命名为CostaRicto的组织,是继BellTrox之后今年发现的第五个黑客组织https://www.reuters.com/article/us-india-cyber-employees-exclusive/exclusive-unmobile-indian-cyber-firm-spied-on-politics-investors-worldwide-idUSKBN23G1GQ“target=”_blank“rel=”noopener noreferrernofollow“data component=”externalLink“>1,2,3]
Costarito的发现也追溯证实了谷歌5月份的一份报告,当这家美国科技巨头强调https://www.zdnet.com/article/google-highlights-indian-hack-for-hire-companies-in-new-tag-report/“target=”Βblank“>越来越多的黑客雇佣雇佣兵组织,,尤其是那些在印度境外活动的黑客。
然而,BellTrox与一家印度实体有联系,Bahamut由于被怀疑在印度境外活动,有关科斯塔利托目前的来源和下落的细节仍然未知。
目前已知的是,该组织在全球各地策划了针对欧洲、美洲、亚洲、澳大利亚和非洲不同国家的袭击。
然而,黑莓表示,受害者最集中的地区似乎是南亚,尤其是印度、孟加拉国和新加坡,这表明威胁行为人可能会驻扎在该地区,“但会从不同的客户那里获得广泛的佣金。”
至于目标的性质,黑莓研究与智能团队https://www.microsoft.com/security/blog/2020/11/12/system-management-mode-deep-dive-how-smm-isolation-hardens-the-platform/“target=”“blank”rel=“noopener noreferrer”data component=“externalLink”>在今天的一份报告中说,“受害者的情况在几个垂直领域是不同的,其中很大一部分是金融机构,黑莓表示,“受害者的多样性和地理位置与某个州赞助的活动不符”,但表明他们是“不同实体委托的不同任务可以解释的目标的混合体。”
他们的大多数攻击都依赖于窃取的凭据或鱼叉式网络钓鱼电子邮件作为初始输入载体。这些电子邮件通常传递BlackBerry命名为Sombra或SombRAT的后门特洛伊木马。
该后门特洛伊木马允许Costarito运营商访问受感染的主机、搜索敏感文件和过滤重要文档。
这些数据通常被发送回CostaRicto指挥和控制基础设施,BlackBerry说它通常托管在黑暗网络上,并且只能通过Tor访问。
此外,受感染的主机通常通过一层代理和SSH隧道连接这些服务器,以隐藏受感染组织的恶意流量。
总之,黑莓表示,与你通常的黑客组织相比,这些做法“揭示了比一般人更好的操作安全性”。
黑莓发现的所有Costarito恶意软件样本都可以追溯到2019年10月,但该团伙服务器上的其他线索表明,该组织可能早在更早的时候就活跃起来了与2017年一样。
此外,研究人员还表示,他们还发现了与过去活动重叠的APT28,俄罗斯军事黑客部队之一,但黑莓认为,服务器重叠可能是偶然的。
多年来,大多数黑客组织都是作为独立的团体运作的,进行经济上有动机的攻击,窃取数据,并出售自己的利润。
公开曝光的BellTrox,DeathStacker,Bahamut和CostaRicto今年展示了一个成熟的黑客雇佣场景,越来越多的团体将服务租给多个有着不同议程的客户,而不是像独狼一样运作。
调查这些团体的下一步需要看看他们的客户是谁。他们是私人公司还是外国政府。或者是他们两个?
