LuckyStrike Agent Malware retter seg mot russiske IT-firmaer i Space Pirates Cyberattack
Russiske IT-organisasjoner er i trådkorset til en nylig avdekket cybertrussel når hackergruppen Space Pirates lanserer en ny bølge av angrep. Den ondsinnede kampanjen, først oppdaget i november 2024 av Solar, cybersikkerhetsavdelingen til russiske Rostelecom, utnytter en tidligere ukjent skadevarestamme kalt LuckyStrike Agent. Denne sofistikerte cyberspionasjeoperasjonen, sporet under kodenavnet Erudite Mogwai, understreker en pågående innsats for å infiltrere verdifulle mål i Russlands teknologisektor.
Table of Contents
Hvem er rompiratene?
Space Pirates er en Advanced Persistent Threat (APT) gruppe kjent for sitt fokus på cyberspionasje, primært rettet mot offentlige etater og høyteknologiske industrier. Gruppen har vært aktiv siden minst 2017, med kampanjer som strekker seg utover Russland til land som Georgia og Mongolia. Den deler bemerkelsesverdige taktiske overlappinger med en annen Kina-tilknyttet APT-gruppe, Webworm, og antyder potensielle bånd til statsstøttede cyberaktiviteter.
Inne i LuckyStrike Agent Attack
Innledende inntrenging og sidebevegelse
Ifølge Solar-forskere begynte angrepet med kompromiss av en offentlig tilgjengelig nettjeneste senest i mars 2023. Angriperne beveget seg forsiktig, gjennomførte rekognosering og spredte seg gradvis over nettverket over en svimlende 19-måneders periode. I november 2024 hadde de fått tilgang til kritiske nettverkssegmenter knyttet til systemovervåking.
Rollen til LuckyStrike Agent
Den nyoppdagede LuckyStrike Agent malware er en multifunksjonell .NET-bakdør som bruker Microsoft OneDrive for kommando-og-kontroll (C2) kommunikasjon. Dette lar angripere i det skjulte utstede kommandoer og eksfiltrere sensitive data mens de blander seg med legitim nettverkstrafikk.
Ytterligere verktøy i angrepet
I tillegg til LuckyStrike Agent, ansatt Space Pirates:
- Deed RAT (ShadowPad Light) – En skjult fjerntilgangstrojaner som gir vedvarende tilgang.
- Modified Stowaway Proxy – Et tilpasset proxy-verktøy optimalisert for kryptert kommunikasjon, ved å bruke LZ4-komprimering, XXTEA-kryptering og QUIC-protokollstøtte for å unngå gjenkjenning.
Ved å nøye modifisere Stowaway, fjernet angriperne unødvendige funksjoner og endret strukturstørrelser – sannsynligvis i et forsøk på å omgå signaturbaserte deteksjonssystemer.
En vedvarende og utviklende trussel
APT-grupper som Space Pirates opererer med langsiktige mål, og opprettholder ofte tilgang til kompromitterte miljøer i måneder eller til og med år. Deres evne til å forbli uoppdaget mens de stadig utvider fotfeste, fremhever viktigheten av kontinuerlig trusselovervåking og proaktivt cybersikkerhetsforsvar.
Etter hvert som cybertrusler utvikler seg, må organisasjoner ta i bruk en flerlags sikkerhetstilnærming, inkludert nettverkssegmentering, endepunktovervåking og regelmessige sårbarhetsvurderinger. Bruken av skytjenester som OneDrive for C2-operasjoner vekker også bekymring for at tradisjonelle sikkerhetsverktøy ikke klarer å oppdage trusler som er skjult på legitime plattformer.
Space Pirates' Erudite Mogwai-kampanje er en sterk påminnelse om at ingen organisasjoner er immune mot nettspionasje. Med avansert skadelig programvare som LuckyStrike Agent og tilpassede hackingverktøy, fortsetter APT-grupper å avgrense taktikken, noe som gjør tidlig oppdagelse mer kritisk enn noen gang. Russiske IT-firmaer – og høyteknologiske industrier over hele verden – må være på vakt mot slike snikende og vedvarende trusler.
