Хакеры по найму атакуют финансовые учреждения по всему миру

Исследователи безопасности из компании Blackberry сообщили о вредоносной кампании «хакеров по найму» (Hackers for Hire, HfH), в рамках которой использовалось ранее неизвестное вредоносное ПО для осуществления атак на финансовые учреждения Южной Азии и глобальные развлекательные компании.

Кампания, получившая название CostaRicto, предположительно организована хакерами, которые обладают сложным вредоносным инструментом и комплексными возможностями VPN-прокси и SSH-туннелирования.

«Цели CostaRicto разбросаны по разным странам Европы, Америки, Азии, Австралии и Африки, но наибольшая концентрация приходится на Южную Азию (особенно Индию, Бангладеш и Сингапур). Это позволяет предположить, что источник угрозы мог базироваться в этом регионе, но продавал свои незаконные услуги на международном черном рынке тем, кто предложит самую высокую цену», — отметили эксперты.

Получив доступ к среде жертвы с помощью украденных учетных данных, злоумышленники приступают к настройке SSH-туннеля для загрузки бэкдора и загрузчика CostaBricks, который реализует механизм виртуальной машины C++ для декодирования и внедрения полезной нагрузки в память. Бэкдор представляет собой скомпилированный на C++ исполняемый файл под названием SombRAT. Он снабжен 50 различными командами для выполнения задач (основные, диспетчер задач, конфигурация, хранилище, отладка, сетевые функции), которые варьируются от внедрения вредоносных DLL-библиотек в память до перечисления файлов в хранилище и пересылки захваченных данных на сервер, контролируемый злоумышленником.

В общей сложности было идентифицировано шесть версий SombRAT, первая из которых датируется октябрем 2019 года, а последняя версия была обнаружена в августе нынешнего года.

Хотя личности злоумышленников до сих пор неизвестны, один из IP-адресов, на которые были зарегистрированы домены бэкдоров, был связан с фишинговой кампанией, приписываемой киберпреступной группировке APT28 (также известной как Fancy Bear). Однако сами исследователи BlackBerry полагают, что прямая связь между CostaRicto и APT28 маловероятна. Возможно, совпадение IP-адресов является случайным или фишинговые кампании были переданы наемникам от имени злоумышленника.