該活動被Blackberry研究人員稱為“CostaRicto”，這場運動似乎是APT組織的杰作，他們擁有定制的惡意軟件工具和復雜的VPN代理和SSH隧道。

研究人員表示，“CostaRicto的目標分散在歐洲、美洲、亞洲、澳大利亞和非洲的不同國家，但最大的集中似乎在南亞（特別是印度、孟加拉國、新加坡和中國），這表明攻擊者可能駐扎在該地區(qū)。但是，他們從不同的客戶那里獲得了廣泛的傭金?！?/p>

攻擊者通過被盜憑證在目標環(huán)境中獲得了立足之地后，便開始建立SSH隧道以下載后門和稱為CostaBricks的有效負載加載器，該負載實現(xiàn)了C ++虛擬機機制來解碼并將字節(jié)碼有效負載注入內(nèi)存。

除了DNS隧道管理命令與控制（C2）服務器，上述加載器提供的后門是一個名為SombRAT的c++編譯可執(zhí)行文件。

后門配備了50個不同的命令來執(zhí)行特定任務（可分為core、taskman、config、storage、debug、network函數(shù)），從將惡意dll注入內(nèi)存到枚舉存儲中的文件，再到將捕獲的數(shù)據(jù)泄漏到攻擊者控制的服務器。

總共已經(jīng)確定了6個版本的SombRAT，第一個版本可以追溯到2019年10月，最新的版本在今年8月初觀測到，這意味著后門正在積極開發(fā)中。

雖然攻擊者的身份仍不清楚，但其中一個注冊了后門域名的IP地址與早前一次網(wǎng)絡釣魚活動有關，該網(wǎng)絡釣魚活動是由與俄羅斯有關的APT28黑客組織發(fā)起的，暗示著網(wǎng)絡釣魚活動有可能被外包給代表攻擊者的雇傭兵。

這是Blackberry發(fā)現(xiàn)的第二起黑客雇傭行動，第一起是由一個名為Bahamut的組織發(fā)起的一系列行動，他們利用零日漏洞、惡意軟件和虛假信息來跟蹤中東和南亞的目標。

Blackberry研究人員表示:“勒索軟件即服務（RaaS）取得了不可否認的成功，因此網(wǎng)絡犯罪市場擴大其業(yè)務范圍，將專門的網(wǎng)絡釣魚和間諜活動添加到服務列表中也就不足為奇了。”

“將攻擊或攻擊鏈的某些部分外包給獨立的傭兵組織，對攻擊者有很多好處——它可以節(jié)省自己的時間和資源，簡化程序，最重要的是，它利于保護自己的真實身份。”

消息來源：The Hacker News?；封面來自網(wǎng)絡；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/