聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

該活動(dòng)被Blackberry研究人員稱為“CostaRicto”，這場(chǎng)運(yùn)動(dòng)似乎是APT組織的杰作，他們擁有定制的惡意軟件工具和復(fù)雜的VPN代理和SSH隧道。

研究人員表示，“CostaRicto的目標(biāo)分散在歐洲、美洲、亞洲、澳大利亞和非洲的不同國(guó)家，但最大的集中似乎在南亞（特別是印度、孟加拉國(guó)、新加坡和中國(guó)），這表明攻擊者可能駐扎在該地區(qū)。但是，他們從不同的客戶那里獲得了廣泛的傭金?！?/p>

攻擊者通過被盜憑證在目標(biāo)環(huán)境中獲得了立足之地后，便開始建立SSH隧道以下載后門和稱為CostaBricks的有效負(fù)載加載器，該負(fù)載實(shí)現(xiàn)了C ++虛擬機(jī)機(jī)制來(lái)解碼并將字節(jié)碼有效負(fù)載注入內(nèi)存。

除了DNS隧道管理命令與控制（C2）服務(wù)器，上述加載器提供的后門是一個(gè)名為SombRAT的c++編譯可執(zhí)行文件。

后門配備了50個(gè)不同的命令來(lái)執(zhí)行特定任務(wù)（可分為core、taskman、config、storage、debug、network函數(shù)），從將惡意dll注入內(nèi)存到枚舉存儲(chǔ)中的文件，再到將捕獲的數(shù)據(jù)泄漏到攻擊者控制的服務(wù)器。

總共已經(jīng)確定了6個(gè)版本的SombRAT，第一個(gè)版本可以追溯到2019年10月，最新的版本在今年8月初觀測(cè)到，這意味著后門正在積極開發(fā)中。

雖然攻擊者的身份仍不清楚，但其中一個(gè)注冊(cè)了后門域名的IP地址與早前一次網(wǎng)絡(luò)釣魚活動(dòng)有關(guān)，該網(wǎng)絡(luò)釣魚活動(dòng)是由與俄羅斯有關(guān)的APT28黑客組織發(fā)起的，暗示著網(wǎng)絡(luò)釣魚活動(dòng)有可能被外包給代表攻擊者的雇傭兵。

這是Blackberry發(fā)現(xiàn)的第二起黑客雇傭行動(dòng)，第一起是由一個(gè)名為Bahamut的組織發(fā)起的一系列行動(dòng)，他們利用零日漏洞、惡意軟件和虛假信息來(lái)跟蹤中東和南亞的目標(biāo)。

Blackberry研究人員表示:“勒索軟件即服務(wù)（RaaS）取得了不可否認(rèn)的成功，因此網(wǎng)絡(luò)犯罪市場(chǎng)擴(kuò)大其業(yè)務(wù)范圍，將專門的網(wǎng)絡(luò)釣魚和間諜活動(dòng)添加到服務(wù)列表中也就不足為奇了?！?/p>

“將攻擊或攻擊鏈的某些部分外包給獨(dú)立的傭兵組織，對(duì)攻擊者有很多好處——它可以節(jié)省自己的時(shí)間和資源，簡(jiǎn)化程序，最重要的是，它利于保護(hù)自己的真實(shí)身份?！?/p>

消息來(lái)源：The Hacker News?；封面來(lái)自網(wǎng)絡(luò)；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/