„LuckyStrike Agent“ kenkėjiška programa nusitaiko į Rusijos IT įmones kosmose piratų kibernetinės atakos metu
Rusijos IT organizacijos atsidūrė naujai atskleistos kibernetinės grėsmės taiklyje, kai įsilaužėlių grupė „Space Pirates“ pradeda naują atakų bangą. Kenkėjiška kampanija, kurią 2024 m. lapkritį pirmą kartą aptiko „Solar“, Rusijos „Rostelecom“ kibernetinio saugumo padalinys, naudoja anksčiau nežinomą kenkėjiškų programų atmainą, vadinamą „LuckyStrike Agent“. Ši sudėtinga kibernetinio šnipinėjimo operacija, sekama kodiniu pavadinimu Erudite Mogwai, pabrėžia nuolatines pastangas įsiskverbti į didelės vertės taikinius Rusijos technologijų sektoriuje.
Table of Contents
Kas yra kosmoso piratai?
Kosmoso piratai yra pažangių nuolatinių grėsmių (APT) grupė, žinoma dėl savo dėmesio kibernetiniam šnipinėjimui, pirmiausia vyriausybinėms agentūroms ir aukštųjų technologijų pramonei. Grupė aktyviai veikia mažiausiai nuo 2017 m., jos kampanijos apėmė ne tik Rusiją, bet ir tokias šalis kaip Gruzija ir Mongolija. Ji turi reikšmingų taktinių sutapimų su kita su Kinija susijusia APT grupe „Webworm“, užsimindama apie galimus ryšius su valstybės remiama kibernetinė veikla.
„LuckyStrike Agent Attack“ viduje
Pradinis įsibrovimas ir šoninis judėjimas
Saulės tyrėjų teigimu, ataka prasidėjo nuo viešai prieinamos interneto paslaugos kompromiso ne vėliau kaip 2023 m. kovo mėn. Užpuolikai judėjo atsargiai, atliko žvalgybą ir palaipsniui išplito visame tinkle per stulbinantį 19 mėnesių laikotarpį. Iki 2024 m. lapkričio mėn. jie gavo prieigą prie svarbiausių tinklo segmentų, susijusių su sistemos stebėjimu.
„LuckyStrike“ agento vaidmuo
Naujai atrasta LuckyStrike Agent kenkėjiška programa yra daugiafunkcis .NET užpakalinės durys, kurios komandų ir valdymo (C2) ryšiui naudoja Microsoft OneDrive. Tai leidžia užpuolikams slapta duoti komandas ir išfiltruoti neskelbtinus duomenis kartu su teisėtu tinklo srautu.
Papildomi įrankiai atakoje
Be „LuckyStrike Agent“, „Space Pirates“ dirbo:
- Deed RAT (ShadowPad Light) – slaptos nuotolinės prieigos Trojos arklys, suteikiantis nuolatinę prieigą.
- Modified Stowaway Proxy – pritaikyta tarpinio serverio programa, optimizuota šifruotam ryšiui, naudojant LZ4 glaudinimą, XXTEA šifravimą ir QUIC protokolo palaikymą, kad būtų išvengta aptikimo.
Kruopščiai modifikuodami Stowaway, užpuolikai pašalino nereikalingas funkcijas ir pakeitė struktūrų dydžius – greičiausiai siekdami apeiti parašais pagrįstas aptikimo sistemas.
Nuolatinė ir besivystanti grėsmė
APT grupės, tokios kaip „Space Pirates“, veikia siekdamos ilgalaikių tikslų, dažnai išlaikydamos prieigą prie pažeistos aplinkos mėnesius ar net metus. Jų gebėjimas likti nepastebėtam ir nuolat plečiantis savo pozicijas pabrėžia nuolatinio grėsmių stebėjimo ir aktyvios kibernetinio saugumo gynybos svarbą.
Vystantis kibernetinėms grėsmėms, organizacijos turi taikyti daugiasluoksnį saugumo metodą, įskaitant tinklo segmentavimą, galinių taškų stebėjimą ir reguliarų pažeidžiamumo vertinimą. Debesijos paslaugų, pvz., „OneDrive“, skirtų C2 operacijoms, naudojimas taip pat kelia susirūpinimą dėl tradicinių saugos įrankių, nesugebančių aptikti grėsmių, paslėptų teisėtose platformose.
Kosmoso piratų kampanija Erudite Mogwai yra ryškus priminimas, kad jokia organizacija nėra apsaugota nuo kibernetinio šnipinėjimo. Naudodamos pažangias kenkėjiškas programas, tokias kaip „LuckyStrike Agent“, ir pritaikytus įsilaužimo įrankius, APT grupės ir toliau tobulina savo taktiką, todėl ankstyvas aptikimas yra svarbesnis nei bet kada anksčiau. Rusijos IT įmonės ir aukštųjų technologijų pramonės įmonės visame pasaulyje turi išlikti budrios prieš tokias slaptas ir nuolatines grėsmes.
