Die Malware LuckyStrike Agent zielt bei einem Cyberangriff durch Weltraumpiraten auf russische IT-Unternehmen ab
Russische IT-Organisationen stehen im Fadenkreuz einer neu aufgedeckten Cyberbedrohung, da die Hackergruppe Space Pirates eine neue Angriffswelle startet. Die bösartige Kampagne, die erstmals im November 2024 von Solar, der Cybersicherheitsabteilung des russischen Unternehmens Rostelecom, entdeckt wurde, nutzt eine bisher unbekannte Malware-Variante namens LuckyStrike Agent. Diese ausgeklügelte Cyber-Spionageoperation, die unter dem Codenamen Erudite Mogwai verfolgt wird, unterstreicht die anhaltenden Bemühungen, hochrangige Ziele im russischen Technologiesektor zu infiltrieren.
Table of Contents
Wer sind die Weltraumpiraten?
Space Pirates ist eine Advanced Persistent Threat (APT)-Gruppe, die für ihren Fokus auf Cyber-Spionage bekannt ist und sich vor allem gegen Regierungsbehörden und Hightech-Unternehmen richtet. Die Gruppe ist seit mindestens 2017 aktiv und ihre Kampagnen erstrecken sich über Russland hinaus auf Länder wie Georgien und die Mongolei. Sie weist bemerkenswerte taktische Überschneidungen mit einer anderen mit China verbundenen APT-Gruppe, Webworm, auf, was auf mögliche Verbindungen zu staatlich geförderten Cyber-Aktivitäten hindeutet.
Einblicke in den LuckyStrike-Agentenangriff
Erstes Eindringen und seitliche Bewegung
Laut Solar-Forschern begann der Angriff spätestens im März 2023 mit der Kompromittierung eines öffentlich zugänglichen Webdienstes. Die Angreifer gingen vorsichtig vor, führten Aufklärungsarbeiten durch und breiteten sich über einen Zeitraum von 19 Monaten allmählich im Netzwerk aus. Bis November 2024 hatten sie Zugriff auf kritische Netzwerksegmente im Zusammenhang mit der Systemüberwachung erlangt.
Die Rolle des LuckyStrike-Agenten
Die neu entdeckte LuckyStrike Agent-Malware ist eine multifunktionale .NET-Hintertür, die Microsoft OneDrive für die Command-and-Control-Kommunikation (C2) verwendet. Auf diese Weise können Angreifer verdeckt Befehle erteilen und vertrauliche Daten exfiltrieren, während sie sich in den legitimen Netzwerkverkehr einmischen.
Zusätzliche Werkzeuge im Angriff
Zusätzlich zu LuckyStrike Agent setzte Space Pirates Folgendes ein:
- Deed RAT (ShadowPad Light) – Ein versteckter Remote-Access-Trojaner, der dauerhaften Zugriff bietet.
- Modifizierter Stowaway-Proxy – Ein angepasstes, für verschlüsselte Kommunikation optimiertes Proxy-Dienstprogramm, das LZ4-Komprimierung, XXTEA-Verschlüsselung und QUIC-Protokollunterstützung verwendet, um einer Erkennung zu entgehen.
Durch vorsichtige Modifizierungen von Stowaway entfernten die Angreifer unnötige Funktionen und veränderten die Strukturgrößen – wahrscheinlich in dem Bemühen, signaturbasierte Erkennungssysteme zu umgehen.
Eine anhaltende und sich entwickelnde Bedrohung
APT-Gruppen wie Space Pirates verfolgen langfristige Ziele und behalten oft über Monate oder sogar Jahre hinweg Zugriff auf kompromittierte Umgebungen. Ihre Fähigkeit, unentdeckt zu bleiben und gleichzeitig ihren Einflussbereich stetig auszubauen, unterstreicht die Bedeutung einer kontinuierlichen Bedrohungsüberwachung und proaktiver Cybersicherheitsabwehr.
Angesichts der sich ständig weiterentwickelnden Cyberbedrohungen müssen Unternehmen einen mehrschichtigen Sicherheitsansatz verfolgen, der Netzwerksegmentierung, Endpunktüberwachung und regelmäßige Schwachstellenbewertungen umfasst. Die Verwendung von Cloud-Diensten wie OneDrive für C2-Operationen weckt auch Bedenken, dass herkömmliche Sicherheitstools Bedrohungen, die sich auf legitimen Plattformen verbergen, nicht erkennen können.
Die Erudite-Mogwai-Kampagne der Space Pirates ist ein deutlicher Hinweis darauf, dass keine Organisation vor Cyber-Spionage gefeit ist. Mit hochentwickelter Malware wie LuckyStrike Agent und maßgeschneiderten Hacking-Tools verfeinern APT-Gruppen ihre Taktiken ständig, sodass eine frühzeitige Erkennung wichtiger denn je ist. Russische IT-Unternehmen – und Hightech-Unternehmen weltweit – müssen gegenüber solchen heimlichen und hartnäckigen Bedrohungen wachsam bleiben.
