Вредоносное ПО LuckyStrike Agent атакует российские ИТ-компании в ходе кибератаки космических пиратов
Российские ИТ-организации оказались под прицелом недавно обнаруженной киберугрозы, поскольку хакерская группа Space Pirates запускает новую волну атак. Вредоносная кампания, впервые обнаруженная в ноябре 2024 года компанией Solar, подразделением кибербезопасности российского Ростелекома, использует ранее неизвестный штамм вредоносного ПО под названием LuckyStrike Agent. Эта сложная операция по кибершпионажу, отслеживаемая под кодовым названием Erudite Mogwai, подчеркивает продолжающиеся усилия по проникновению в высокоценные цели в российском технологическом секторе.
Table of Contents
Кто такие космические пираты?
Space Pirates — это группа Advanced Persistent Threat (APT), известная своей ориентацией на кибершпионаж, в первую очередь нацеленная на государственные учреждения и высокотехнологичные отрасли. Группа действует как минимум с 2017 года, ее кампании выходят за рамки России и охватывают такие страны, как Грузия и Монголия. Она имеет заметные тактические совпадения с другой связанной с Китаем группой APT, Webworm, что намекает на потенциальные связи с спонсируемой государством кибердеятельностью.
Внутри атаки агента LuckyStrike
Первоначальное вторжение и боковое движение
По словам исследователей Solar, атака началась с компрометации общедоступного веб-сервиса не позднее марта 2023 года. Злоумышленники действовали осторожно, проводя разведку и постепенно распространяясь по сети в течение ошеломляющего 19-месячного периода. К ноябрю 2024 года они получили доступ к критически важным сегментам сети, связанным с мониторингом системы.
Роль агента LuckyStrike
Недавно обнаруженный вредоносный код LuckyStrike Agent представляет собой многофункциональный бэкдор .NET, который использует Microsoft OneDrive для командно-контрольной (C2) связи. Это позволяет злоумышленникам скрытно отдавать команды и извлекать конфиденциальные данные, сливаясь с легитимным сетевым трафиком.
Дополнительные инструменты атаки
Помимо LuckyStrike Agent, в Space Pirates работали:
- Deed RAT (ShadowPad Light) – скрытый троян удаленного доступа, обеспечивающий постоянный доступ.
- Модифицированный прокси-сервер Stowaway — настраиваемая прокси-утилита, оптимизированная для зашифрованных коммуникаций, использующая сжатие LZ4, шифрование XXTEA и поддержку протокола QUIC для обхода обнаружения.
Тщательно модифицировав Stowaway, злоумышленники удалили ненужные функции и изменили размеры структуры — вероятно, в попытке обойти системы обнаружения на основе сигнатур.
Постоянная и развивающаяся угроза
Группы APT, такие как Space Pirates, действуют с долгосрочными целями, часто сохраняя доступ к скомпрометированным средам в течение месяцев или даже лет. Их способность оставаться незамеченными, постоянно расширяя свою базу, подчеркивает важность непрерывного мониторинга угроз и проактивной защиты кибербезопасности.
По мере развития киберугроз организации должны принять многоуровневый подход к безопасности, включая сегментацию сети, мониторинг конечных точек и регулярные оценки уязвимости. Использование облачных сервисов, таких как OneDrive, для операций C2 также вызывает опасения по поводу того, что традиционные инструменты безопасности не способны обнаружить угрозы, скрытые в легитимных платформах.
Кампания Space Pirates' Erudite Mogwai — это суровое напоминание о том, что ни одна организация не застрахована от кибершпионажа. С помощью продвинутого вредоносного ПО, такого как LuckyStrike Agent, и настраиваемых хакерских инструментов APT-группы продолжают совершенствовать свою тактику, делая раннее обнаружение более важным, чем когда-либо. Российские ИТ-компании и высокотехнологичные отрасли по всему миру должны сохранять бдительность в отношении таких скрытых и постоянных угроз.
