Malware LuckyStrike Agent atakuje rosyjskie firmy IT w cyberataku piratów kosmicznych
Rosyjskie organizacje IT są na celowniku nowo odkrytego cyberzagrożenia, ponieważ grupa hakerów Space Pirates rozpoczyna nową falę ataków. Złośliwa kampania, wykryta po raz pierwszy w listopadzie 2024 r. przez Solar, dział cyberbezpieczeństwa rosyjskiego Rostelecom, wykorzystuje nieznany wcześniej szczep złośliwego oprogramowania o nazwie LuckyStrike Agent. Ta wyrafinowana operacja cybernetycznego szpiegostwa, śledzona pod kryptonimem Erudite Mogwai, podkreśla trwające wysiłki mające na celu infiltrację celów o wysokiej wartości w rosyjskim sektorze technologicznym.
Table of Contents
Kim są Kosmiczni Piraci?
Space Pirates to grupa Advanced Persistent Threat (APT) znana ze swojego skupienia na cybernetycznym szpiegostwie, głównie na agencjach rządowych i branżach high-tech. Grupa działa od co najmniej 2017 r., a jej kampanie wykraczają poza Rosję, obejmując kraje takie jak Gruzja i Mongolia. Ma ona znaczące podobieństwa taktyczne do innej powiązanej z Chinami grupy APT, Webworm, co sugeruje potencjalne powiązania z działaniami cybernetycznymi sponsorowanymi przez państwo.
Wewnątrz ataku agenta LuckyStrike
Początkowe wtargnięcie i ruch boczny
Według badaczy Solar atak rozpoczął się od naruszenia publicznie dostępnej usługi sieciowej nie później niż w marcu 2023 r. Atakujący poruszali się ostrożnie, przeprowadzając rozpoznanie i stopniowo rozprzestrzeniając się w sieci przez oszałamiający okres 19 miesięcy. Do listopada 2024 r. uzyskali dostęp do krytycznych segmentów sieci związanych z monitorowaniem systemu.
Rola agenta LuckyStrike
Nowo odkryte złośliwe oprogramowanie LuckyStrike Agent to wielofunkcyjny backdoor .NET, który wykorzystuje Microsoft OneDrive do komunikacji typu command-and-control (C2). Umożliwia to atakującym tajne wydawanie poleceń i eksfiltrację poufnych danych, jednocześnie wtapiając się w legalny ruch sieciowy.
Dodatkowe narzędzia w ataku
Oprócz agenta LuckyStrike, Kosmiczni Piraci zatrudniają:
- Deed RAT (ShadowPad Light) – ukryty trojan umożliwiający zdalny dostęp.
- Modified Stowaway Proxy – dostosowane narzędzie proxy zoptymalizowane pod kątem szyfrowanej komunikacji, wykorzystujące kompresję LZ4, szyfrowanie XXTEA i obsługę protokołu QUIC w celu uniknięcia wykrycia.
Poprzez ostrożną modyfikację Stowaway atakujący usunęli niepotrzebne funkcje i zmienili rozmiary struktur, prawdopodobnie w celu ominięcia systemów wykrywania opartych na sygnaturach.
Trwałe i ewoluujące zagrożenie
Grupy APT, takie jak Space Pirates, działają z długoterminowymi celami, często utrzymując dostęp do zagrożonych środowisk przez miesiące, a nawet lata. Ich zdolność do pozostawania niewykrytym przy jednoczesnym stałym rozszerzaniu swojej pozycji podkreśla znaczenie ciągłego monitorowania zagrożeń i proaktywnych zabezpieczeń cybernetycznych.
W miarę rozwoju cyberzagrożeń organizacje muszą przyjąć wielowarstwowe podejście do bezpieczeństwa, w tym segmentację sieci, monitorowanie punktów końcowych i regularne oceny podatności. Korzystanie z usług w chmurze, takich jak OneDrive do operacji C2, również budzi obawy, że tradycyjne narzędzia bezpieczeństwa nie wykryją zagrożeń ukrytych na legalnych platformach.
Kampania Erudite Mogwai Space Pirates jest jaskrawym przypomnieniem, że żadna organizacja nie jest odporna na cybernetyczne szpiegostwo. Dzięki zaawansowanemu oprogramowaniu złośliwemu, takiemu jak LuckyStrike Agent i dostosowanym narzędziom hakerskim, grupy APT nadal udoskonalają swoje taktyki, sprawiając, że wczesne wykrywanie jest ważniejsze niż kiedykolwiek. Rosyjskie firmy IT — i branże high-tech na całym świecie — muszą zachować czujność wobec takich ukrytych i uporczywych zagrożeń.
