LuckyStrike Agent 惡意軟體在 Space Pirates 網路攻擊中瞄準俄羅斯 IT 公司
隨著駭客組織 Space Pirates 發動新一輪攻擊,俄羅斯 IT 組織正面臨新發現的網路威脅。這項惡意活動於 2024 年 11 月首次被俄羅斯電信公司的網路安全部門 Solar 發現,它利用了一種名為 LuckyStrike Agent 的以前未知的惡意軟體。這次複雜的網路間諜行動的代號為“Erudite Mogwai”,凸顯了俄羅斯正在不斷努力滲透俄羅斯科技領域高價值目標。
Table of Contents
誰是宇宙海盜?
太空海盜是一個高級持續性威脅 (APT) 組織,以專注於網路間諜活動而聞名,主要針對政府機構和高科技產業。該組織至少自 2017 年以來一直活躍,其活動範圍從俄羅斯延伸到格魯吉亞和蒙古等國家。它與另一個與中國有關的 APT 組織 Webworm 有明顯的戰術重疊,暗示其與國家支持的網路活動有潛在關聯。
LuckyStrike 代理程式攻擊內部
初始入侵和橫向移動
據 Solar 研究人員稱,此次攻擊始於 2023 年 3 月之前對可公開訪問的網路服務的入侵。到 2024 年 11 月,他們已經獲得了與系統監控相關的關鍵網路段的存取權。
LuckyStrike 代理商的作用
新發現的 LuckyStrike Agent 惡意軟體是一個多功能 .NET 後門,它使用 Microsoft OneDrive 進行命令和控制 (C2) 通訊。這使得攻擊者可以秘密地發出命令並竊取敏感數據,同時融入合法的網路流量中。
攻擊中的其他工具
除了 LuckyStrike Agent 之外,Space Pirates 還僱用了:
- Deed RAT (ShadowPad Light) — 一種提供持久存取的隱藏式遠端存取木馬。
- 修改後的 Stowaway 代理程式——針對加密通訊優化的客製化代理實用程序,使用 LZ4 壓縮、XXTEA 加密和 QUIC 協定支援來逃避偵測。
透過仔細修改 Stowaway,攻擊者刪除了不必要的功能並改變了結構大小——可能是為了繞過基於簽名的偵測系統。
持續且不斷演變的威脅
像 Space Pirates 這樣的 APT 組織有著長期目標,通常會在數月甚至數年的時間內維持對受感染環境的訪問。他們能夠在穩步擴大立足點的同時保持不被發現,凸顯了持續威脅監控和主動網路安全防禦的重要性。
隨著網路威脅的不斷發展,組織必須採用多層安全方法,包括網路分段、端點監控和定期漏洞評估。使用 OneDrive 等雲端服務進行 C2 操作也引發了人們對傳統安全工具無法偵測到隱藏在合法平台內的威脅的擔憂。
太空海盜的「博學魔怪」活動清楚地提醒我們,沒有任何組織能夠免受網路間諜活動的侵害。借助 LuckyStrike Agent 等先進的惡意軟體和客製化的駭客工具,APT 組織不斷改進其策略,使得早期檢測比以往任何時候都更加重要。俄羅斯 IT 公司以及全球高科技產業必須對這種隱密而持續的威脅保持警惕。
