Il malware LuckyStrike Agent prende di mira le aziende IT russe nell'attacco informatico dei pirati spaziali

Le organizzazioni IT russe sono nel mirino di una minaccia informatica appena scoperta, mentre il gruppo di hacker Space Pirates lancia una nuova ondata di attacchi. La campagna dannosa, rilevata per la prima volta a novembre 2024 da Solar, la divisione di sicurezza informatica della russa Rostelecom, sfrutta un ceppo di malware precedentemente sconosciuto chiamato LuckyStrike Agent. Questa sofisticata operazione di cyber-spionaggio, tracciata con il nome in codice Erudite Mogwai, sottolinea uno sforzo continuo per infiltrarsi in obiettivi di alto valore nel settore tecnologico russo.

Chi sono i pirati spaziali?

Space Pirates è un gruppo Advanced Persistent Threat (APT) noto per la sua attenzione allo spionaggio informatico, che prende di mira principalmente agenzie governative e industrie high-tech. Il gruppo è attivo almeno dal 2017, con campagne che si estendono oltre la Russia, in paesi come Georgia e Mongolia. Condivide notevoli sovrapposizioni tattiche con un altro gruppo APT legato alla Cina, Webworm, il che suggerisce potenziali legami con attività informatiche sponsorizzate dallo stato.

All'interno dell'attacco dell'agente LuckyStrike

Intrusione iniziale e movimento laterale

Secondo i ricercatori di Solar, l'attacco è iniziato con la compromissione di un servizio web accessibile al pubblico non più tardi di marzo 2023. Gli aggressori si sono mossi con cautela, conducendo una ricognizione e diffondendosi gradualmente nella rete in un periodo sbalorditivo di 19 mesi. Entro novembre 2024, avevano ottenuto l'accesso a segmenti di rete critici correlati al monitoraggio del sistema.

Il ruolo dell'agente LuckyStrike

Il malware LuckyStrike Agent scoperto di recente è una backdoor .NET multifunzionale che utilizza Microsoft OneDrive per la comunicazione di comando e controllo (C2). Ciò consente agli aggressori di impartire comandi in modo occulto ed esfiltrare dati sensibili, mimetizzandosi nel traffico di rete legittimo.

Strumenti aggiuntivi nell'attacco

Oltre all'agente LuckyStrike, gli Space Pirates hanno impiegato:

• Deed RAT (ShadowPad Light) : un trojan furtivo che garantisce un accesso remoto persistente.
• Modified Stowaway Proxy : un'utilità proxy personalizzata ottimizzata per le comunicazioni crittografate, che utilizza la compressione LZ4, la crittografia XXTEA e il supporto del protocollo QUIC per eludere il rilevamento.

Modificando attentamente Stowaway, gli aggressori hanno rimosso funzioni non necessarie e alterato le dimensioni della struttura, probabilmente nel tentativo di aggirare i sistemi di rilevamento basati sulle firme.

Una minaccia persistente e in continua evoluzione

I gruppi APT come Space Pirates operano con obiettivi a lungo termine, spesso mantenendo l'accesso ad ambienti compromessi per mesi o addirittura anni. La loro capacità di rimanere inosservati mentre espandono costantemente la loro posizione evidenzia l'importanza del monitoraggio continuo delle minacce e delle difese proattive per la sicurezza informatica.

Con l'evolversi delle minacce informatiche, le organizzazioni devono adottare un approccio di sicurezza multilivello, che includa segmentazione di rete, monitoraggio degli endpoint e valutazioni regolari delle vulnerabilità. L'uso di servizi cloud come OneDrive per le operazioni C2 solleva anche preoccupazioni circa il fatto che gli strumenti di sicurezza tradizionali non riescano a rilevare le minacce nascoste all'interno di piattaforme legittime.

La campagna Erudite Mogwai degli Space Pirates è un duro promemoria del fatto che nessuna organizzazione è immune allo spionaggio informatico. Con malware avanzati come LuckyStrike Agent e strumenti di hacking personalizzati, i gruppi APT continuano a perfezionare le loro tattiche, rendendo la rilevazione precoce più critica che mai. Le aziende IT russe e le industrie high-tech in tutto il mondo devono rimanere vigili contro queste minacce furtive e persistenti.