LuckyStrike Agent Malware riktar sig till ryska IT-företag i rymdpirater Cyberattack
Ryska IT-organisationer hamnar i hårkorset för ett nyupptäckt cyberhot när hackergruppen Space Pirates lanserar en ny våg av attacker. Den skadliga kampanjen, som först upptäcktes i november 2024 av Solar, cybersäkerhetsavdelningen för ryska Rostelecom, utnyttjar en tidigare okänd skadlig kod som heter LuckyStrike Agent. Denna sofistikerade cyberspionageoperation, spårad under kodnamnet Erudite Mogwai, understryker en pågående ansträngning för att infiltrera värdefulla mål i Rysslands tekniska sektor.
Table of Contents
Vilka är rymdpiraterna?
Space Pirates är en Advanced Persistent Threat-grupp (APT) känd för sitt fokus på cyberspionage, främst inriktad på statliga myndigheter och högteknologiska industrier. Gruppen har varit aktiv sedan åtminstone 2017, med sina kampanjer som sträcker sig utanför Ryssland till länder som Georgien och Mongoliet. Den delar anmärkningsvärda taktiska överlappningar med en annan Kina-länkad APT-grupp, Webworm, som antyder potentiella band till statligt sponsrade cyberaktiviteter.
Inuti LuckyStrike Agent Attack
Inledande intrång och sidorörelse
Enligt Solar-forskare började attacken med kompromissen av en allmänt tillgänglig webbtjänst senast i mars 2023. Angriparna rörde sig försiktigt, genomförde spaning och spred sig gradvis över nätverket under en häpnadsväckande 19-månadersperiod. I november 2024 hade de fått tillgång till kritiska nätverkssegment relaterade till systemövervakning.
Rollen som LuckyStrike Agent
Den nyupptäckta skadliga programvaran LuckyStrike Agent är en multifunktionell .NET-bakdörr som använder Microsoft OneDrive för kommando-och-kontroll (C2)-kommunikation. Detta gör att angripare i hemlighet kan utfärda kommandon och exfiltrera känslig data samtidigt som de smälter in med legitim nätverkstrafik.
Ytterligare verktyg i attacken
Förutom LuckyStrike Agent, anställde Space Pirates:
- Deed RAT (ShadowPad Light) – En trojan för smyg fjärråtkomst som ger beständig åtkomst.
- Modified Stowaway Proxy – Ett anpassat proxyverktyg optimerat för krypterad kommunikation, med hjälp av LZ4-komprimering, XXTEA-kryptering och QUIC-protokollstöd för att undvika upptäckt.
Genom att noggrant modifiera Stowaway tog angriparna bort onödiga funktioner och ändrade strukturstorlekar – troligen i ett försök att kringgå signaturbaserade detektionssystem.
Ett ihållande och utvecklande hot
APT-grupper som Space Pirates arbetar med långsiktiga mål och behåller ofta tillgång till utsatta miljöer i månader eller till och med år. Deras förmåga att förbli oupptäckt samtidigt som de stadigt utökar sitt fotfäste understryker vikten av kontinuerlig hotövervakning och proaktiva cybersäkerhetsförsvar.
I takt med att cyberhot utvecklas måste organisationer anta en säkerhetsstrategi i flera lager, inklusive nätverkssegmentering, slutpunktsövervakning och regelbundna sårbarhetsbedömningar. Användningen av molntjänster som OneDrive för C2-operationer väcker också oro för att traditionella säkerhetsverktyg misslyckas med att upptäcka hot dolda inom legitima plattformar.
Space Pirates Erudite Mogwai-kampanj är en skarp påminnelse om att ingen organisation är immun mot cyberspionage. Med avancerad skadlig programvara som LuckyStrike Agent och anpassade hackverktyg fortsätter APT-grupper att förfina sin taktik, vilket gör tidig upptäckt mer kritisk än någonsin. Ryska IT-företag – och högteknologiska industrier över hela världen – måste vara vaksamma mot sådana smygande och ihållande hot.
