Investigadores del equipo de investigación e inteligencia de BlackBerry han detallado una nueva campaña de ciberespionaje que aprovecha un malware previamente indocumentado para atacar empresas de todo el mundo.
La campaña, denominada CostaRicto, parece haber sido orquestada por un grupo de piratería informática que posee herramientas de malware a medida y capacidades complejas de proxy VPN y tunelización SSH. La lista de objetivos incluye empresas en diferentes países de Europa, América, Asia, Australia y África, con la mayor concentración de víctimas en el sur de Asia (especialmente India, Bangladesh y Singapur), lo que sugiere que el actor de la amenaza podría estar basado en esa región, pero trabajando en una amplia gama de comisiones de diversos clientes. Según los investigadores, los perfiles de las víctimas son diversos en varias verticales, y una gran parte son instituciones financieras.
En cuanto al modus operandi del grupo, no es nada nuevo: una vez que obtiene un punto de apoyo inicial en el entorno del objetivo mediante credenciales robadas, el actor de amenazas establece un túnel SSH para descargar una puerta trasera y un cargador de carga útil llamado CostaBricks que implementa un mecanismo de máquina virtual C ++ para decodificar e inyecte la carga útil del código de bytes en la memoria. Los servidores de comando y control (C2) se administran a través de Tor y / o mediante una capa de proxies.
La puerta trasera en cuestión se llama SombraRAT y lleva el nombre de Sombra, un personaje del juego Overwatch.
“La puerta trasera utilizada como punto de apoyo es una nueva cepa de malware nunca antes visto: una herramienta personalizada con un nombre de proyecto sugerente, código bien estructurado y sistema de control de versiones detallado. Las marcas de tiempo más antiguas son de octubre de 2019 y, según los números de versión, el proyecto parece estar en la fase de prueba de depuración. No está claro a partir de ahora si es algo que los actores de amenazas desarrollaron internamente u obtuvieron para uso exclusivo como parte de las pruebas beta de otra entidad ”, dijeron los investigadores.
El SombraRAT se utiliza principalmente para descargar y ejecutar otras cargas útiles maliciosas, también es capaz de realizar acciones simples como recopilar información del sistema, enumerar y matar procesos y cargar archivos al C2.
Todas las muestras de malware CostaRicto descubiertas por BlackBerry se remontan a octubre de 2019, pero otras pistas en los servidores del grupo sugieren que CostaRicto puede haber estado activo desde 2017.
“Subcontratar una campaña de espionaje, o parte de ella, a un grupo mercenario puede ser muy convincente, especialmente para las empresas y las personas que buscan inteligencia sobre su competencia pero que pueden no tener las herramientas, la infraestructura y la experiencia necesarias para realizar un ataque por sí mismos. Pero incluso los adversarios notorios con experiencia en el ciberespionaje pueden beneficiarse de agregar una capa de indirecta a sus ataques. Al utilizar a un mercenario como su representante, el atacante real puede proteger mejor su identidad y frustrar los intentos de atribución ”, señalaron los investigadores.
https://www.cybersecurity-help.cz/blog/1747.html
