A LuckyStrike Agent Agent rosszindulatú programja orosz IT-cégeket céloz meg az űrkalózok kibertámadásában
Az orosz informatikai szervezetek egy újonnan feltárt kiberfenyegetés célkeresztjébe kerültek, amikor a Space Pirates hackercsoport újabb támadási hullámot indít. A rosszindulatú kampány, amelyet először 2024 novemberében észlelt a Solar, az orosz Rostelecom kiberbiztonsági részlege, egy korábban ismeretlen, LuckyStrike Agent nevű rosszindulatú program törzset használ. Ez a kifinomult kiberkémkedési művelet, amelyet Erudite Mogwai kódnéven követnek nyomon, azt a folyamatos erőfeszítést jelzi, hogy nagy értékű célpontokba szivárogjon be Oroszország technológiai szektorába.
Table of Contents
Kik az űrkalózok?
A Space Pirates egy Advanced Persistent Threat (APT) csoport, amely arról ismert, hogy a kiberkémkedésre összpontosít, és elsősorban a kormányzati szerveket és a csúcstechnológiai iparágakat célozza meg. A csoport legalább 2017 óta aktív, kampányai Oroszországon túlmenően olyan országokra is kiterjedtek, mint Grúzia és Mongólia. Jelentős taktikai átfedésben van egy másik Kínához kötődő APT csoporttal, a Webworm-mal, utalva az államilag támogatott kibertevékenységekkel való lehetséges kapcsolatokra.
A LuckyStrike Agent Attack belsejében
Kezdeti behatolás és oldalirányú mozgás
A Solar kutatói szerint a támadás egy nyilvánosan elérhető webszolgáltatás kompromittálásával kezdődött, legkésőbb 2023 márciusában. A támadók óvatosan mozogtak, felderítést végeztek, és fokozatosan terjedtek el a hálózaton egy elképesztő 19 hónapos időszak alatt. 2024 novemberére hozzáfértek a rendszerfelügyelettel kapcsolatos kritikus hálózati szegmensekhez.
A LuckyStrike ügynök szerepe
Az újonnan felfedezett LuckyStrike Agent kártevő egy többfunkciós .NET-hátsó ajtó, amely a Microsoft OneDrive-ot használja a parancs- és vezérlési (C2) kommunikációhoz. Ez lehetővé teszi a támadók számára, hogy rejtett parancsokat adjanak ki, és kiszűrjék az érzékeny adatokat, miközben beleolvadnak a legitim hálózati forgalomba.
További eszközök a támadásban
A LuckyStrike Agent mellett a Space Pirates a következőket alkalmazta:
- Deed RAT (ShadowPad Light) – Lopakodó távoli hozzáférésű trójai, amely folyamatos hozzáférést biztosít.
- Módosított Stowaway Proxy – Egy testreszabott proxy-segédprogram, amelyet titkosított kommunikációra optimalizáltak, LZ4-tömörítést, XXTEA titkosítást és QUIC-protokoll támogatást használva az észlelés elkerülésére.
A Stowaway gondos módosításával a támadók eltávolították a szükségtelen funkciókat és megváltoztatták a struktúra méretét – valószínűleg azért, hogy megkerüljék az aláírás-alapú észlelési rendszereket.
Állandó és fejlődő fenyegetés
Az APT csoportok, mint például a Space Pirates, hosszú távú célokat szolgálnak, és gyakran hónapokig vagy akár évekig fenntartják a hozzáférést a veszélyeztetett környezetekhez. Az a képességük, hogy észrevétlenek maradnak, miközben folyamatosan bővítik a lábukat, rávilágít a folyamatos fenyegetésfigyelés és a proaktív kiberbiztonsági védelem fontosságára.
Ahogy a kiberfenyegetések fejlődnek, a szervezeteknek többrétegű biztonsági megközelítést kell alkalmazniuk, beleértve a hálózatszegmentálást, a végpontok figyelését és a rendszeres sebezhetőségi felméréseket. A felhőszolgáltatások, például a OneDrive for C2 műveletek használata aggályokat vet fel azzal kapcsolatban is, hogy a hagyományos biztonsági eszközök nem észlelik a legális platformokon belül rejtett fenyegetéseket.
Az Űrkalózok Erudite Mogwai kampánya határozottan emlékeztet arra, hogy egyetlen szervezet sem mentes a kiberkémkedéstől. A fejlett rosszindulatú programokkal, mint például a LuckyStrike Agent és a testreszabott hackereszközökkel az APT-csoportok továbbra is finomítják taktikájukat, így a korai felismerés minden eddiginél fontosabb. Az orosz IT-cégeknek – és a csúcstechnológiai iparágaknak világszerte – ébernek kell maradniuk az ilyen lopakodó és tartós fenyegetésekkel szemben.
