LuckyStrike Agent Malware retter sig mod russiske it-virksomheder i rumpirater cyberangreb
Russiske it-organisationer står i trådkorset for en nyligt afdækket cybertrussel, da hackergruppen Space Pirates lancerer en ny bølge af angreb. Den ondsindede kampagne, som først blev opdaget i november 2024 af Solar, cybersikkerhedsafdelingen af det russiske Rostelecom, udnytter en hidtil ukendt malware-stamme kaldet LuckyStrike Agent. Denne sofistikerede cyberspionageoperation, sporet under kodenavnet Erudite Mogwai, understreger en igangværende indsats for at infiltrere værdifulde mål i Ruslands teknologisektor.
Table of Contents
Hvem er rumpiraterne?
Space Pirates er en Advanced Persistent Threat (APT) gruppe kendt for sit fokus på cyberspionage, primært rettet mod statslige agenturer og højteknologiske industrier. Gruppen har været aktiv siden mindst 2017, og dens kampagner strækker sig ud over Rusland til lande som Georgien og Mongoliet. Den deler bemærkelsesværdige taktiske overlapninger med en anden Kina-forbundet APT-gruppe, Webworm, der antyder potentielle bånd til statssponsorerede cyberaktiviteter.
Inde i LuckyStrike Agent Attack
Indledende indtrængen og lateral bevægelse
Ifølge Solar-forskere begyndte angrebet med kompromittering af en offentligt tilgængelig webtjeneste senest i marts 2023. Angriberne bevægede sig forsigtigt, gennemførte rekognoscering og spredte sig gradvist over netværket over en svimlende 19-måneders periode. I november 2024 havde de fået adgang til kritiske netværkssegmenter relateret til systemovervågning.
Rollen som LuckyStrike Agent
Den nyopdagede LuckyStrike Agent malware er en multifunktionel .NET bagdør, der bruger Microsoft OneDrive til kommando-og-kontrol (C2) kommunikation. Dette giver angribere mulighed for i det skjulte at udstede kommandoer og eksfiltrere følsomme data, mens de blander sig med legitim netværkstrafik.
Yderligere værktøjer i angrebet
Ud over LuckyStrike Agent beskæftigede Space Pirates:
- Deed RAT (ShadowPad Light) – En snigende trojaner med fjernadgang, der giver vedvarende adgang.
- Modified Stowaway Proxy – Et tilpasset proxyværktøj, der er optimeret til krypteret kommunikation, ved hjælp af LZ4-komprimering, XXTEA-kryptering og QUIC-protokolunderstøttelse for at undgå registrering.
Ved omhyggeligt at modificere Stowaway fjernede angriberne unødvendige funktioner og ændrede strukturstørrelser - sandsynligvis i et forsøg på at omgå signaturbaserede detektionssystemer.
En vedvarende og udviklende trussel
APT-grupper som Space Pirates opererer med langsigtede mål og bevarer ofte adgang til kompromitterede miljøer i måneder eller endda år. Deres evne til at forblive uopdaget, mens de støt udvider deres fodfæste, fremhæver vigtigheden af kontinuerlig trusselsovervågning og proaktivt cybersikkerhedsforsvar.
Efterhånden som cybertrusler udvikler sig, skal organisationer anvende en flerlags sikkerhedstilgang, herunder netværkssegmentering, overvågning af slutpunkter og regelmæssige sårbarhedsvurderinger. Brugen af cloud-tjenester som OneDrive til C2-operationer giver også anledning til bekymring over, at traditionelle sikkerhedsværktøjer ikke kan opdage trusler, der er skjult på legitime platforme.
Space Pirates' Erudite Mogwai-kampagne er en skarp påmindelse om, at ingen organisation er immun over for cyberspionage. Med avanceret malware som LuckyStrike Agent og tilpassede hackingværktøjer fortsætter APT-grupper med at forfine deres taktik, hvilket gør tidlig opdagelse mere kritisk end nogensinde. Russiske it-firmaer – og højteknologiske industrier verden over – skal være på vagt over for sådanne snigende og vedvarende trusler.
