LuckyStrike Agent マルウェアがスペースパイレーツのサイバー攻撃でロシアの IT 企業を標的に

ロシアのIT組織は、ハッカー集団「スペースパイレーツ」が新たな攻撃の波を仕掛けるなか、新たに発見されたサイバー脅威の標的となっている。ロシアのロステレコムのサイバーセキュリティ部門であるソーラーが2024年11月に初めて検出したこの悪意ある攻撃は、これまで知られていなかったマルウェア「ラッキーストライクエージェント」を利用している。「エルーディットモグワイ」というコード名で追跡されているこの高度なサイバースパイ活動は、ロシアのテクノロジーセクターにおける高価値ターゲットへの侵入を狙う継続的な取り組みを浮き彫りにしている。

宇宙海賊とは誰ですか?

Space Pirates は、サイバースパイ活動に重点を置くことで知られる APT (Advanced Persistent Threat) グループで、主に政府機関やハイテク産業を標的としています。このグループは少なくとも 2017 年から活動しており、その活動はロシアだけでなく、ジョージアやモンゴルなどの国にも広がっています。中国と関係のある別の APT グループである Webworm と戦術的に共通点が見られ、国家が支援するサイバー活動との潜在的なつながりを示唆しています。

LuckyStrike エージェント攻撃の内部

最初の侵入と横方向の移動

Solar の研究者によると、攻撃は遅くとも 2023 年 3 月までに、公開されている Web サービスが侵害されたことから始まりました。攻撃者は慎重に行動し、偵察を行い、19 か月という長い期間をかけて徐々にネットワーク全体に広がりました。2024 年 11 月までに、システム監視に関連する重要なネットワーク セグメントへのアクセスを獲得しました。

LuckyStrikeエージェントの役割

新たに発見された LuckyStrike Agent マルウェアは、コマンド アンド コントロール (C2) 通信に Microsoft OneDrive を使用する多機能 .NET バックドアです。これにより、攻撃者は正当なネットワーク トラフィックに紛れ込み、密かにコマンドを発行して機密データを盗み出すことができます。

攻撃における追加ツール

LuckyStrike エージェントに加えて、Space Pirates は以下を採用しました:

• Deed RAT (ShadowPad Light) – 持続的なアクセスを提供するステルス型のリモート アクセス トロイの木馬。
• Modified Stowaway Proxy – 検出を回避するために LZ4 圧縮、XXTEA 暗号化、および QUIC プロトコル サポートを使用する、暗号化された通信用に最適化されたカスタマイズされたプロキシ ユーティリティです。

攻撃者は Stowaway を慎重に改変し、不要な機能を削除して構造のサイズを変更しました。これは、シグネチャベースの検出システムを回避しようとする試みだと考えられます。

持続的かつ進化する脅威

Space Pirates のような APT グループは長期的な目標を持って活動し、侵害された環境へのアクセスを数か月、場合によっては数年にわたって維持することがよくあります。着実に足場を拡大しながらも検出されないままでいる彼らの能力は、継続的な脅威監視と積極的なサイバーセキュリティ防御の重要性を浮き彫りにしています。

サイバー脅威が進化するにつれ、組織はネットワークのセグメント化、エンドポイントの監視、定期的な脆弱性評価など、多層的なセキュリティ アプローチを採用する必要があります。また、C2 操作に OneDrive などのクラウド サービスを使用すると、従来のセキュリティ ツールでは正当なプラットフォーム内に隠れた脅威を検出できないという懸念も生じます。

Space Pirates の Erudite Mogwai キャンペーンは、サイバースパイ活動から逃れられる組織などないということを思い起こさせるものです。LuckyStrike Agent のような高度なマルウェアやカスタマイズされたハッキングツールにより、APT グループは戦術を改良し続けており、早期発見がこれまで以上に重要になっています。ロシアの IT 企業、そして世界中のハイテク産業は、このような隠密かつ執拗な脅威に対して警戒を怠ってはなりません。