Предыдущая публикация
Китайские хакеры изощренно атаковали аэрокосмические компании России
и важные предприятия Сербии
Группировка Space Pirates атакует российские и сербские организации. Злоумышленники используют новое, по-видимому самописное, вредоносное ПО и постоянно дорабатывают и совершенствуют его, добавляя атипичные функции.16 жертв кибершпионажа
По меньшей мере 16 организаций в России и Сербии стали жертвами атак со стороны кибергруппировки Space Pirates. Операторы этих атак использовали новаторскую тактику и новые инструменты.Как сообщается в отчете компании Positive Technologies, деятельность «космических пиратов» сводится к кибершпионажу и хищению конфиденциальной информации. Теперь они расширили и географический ареал, и сферу интересов — отраслевой диапазон жертв атак.
Сейчас Space Pirates пытаются атаковать правительственные учреждения, образовательные институты, частные охранные компании, аэрокосмические организации, производителей сельскохозяйственной продукции, оборонные, энергетические и медицинские фирмы в России и Сербии.
Активны с 2019 года
PositiveTechnologies выявила группировку Space Pirates в мае 2022 г., когда ее члены атаковали ряд компаний аэрокосмического сектора. Однако в Positive утверждают, что группировка была активной самое позднее с конца 2019 г., и что она как-то связана с другой группировкой, которую Symantec называет Webworm.Анализ инфраструктуры злоумышленников показал, что они питают особенную слабость к архивам e-mail в формате PST, а также активно используют Deed RAT — свой эксклюзивный троянец, предназначенный для удаленного доступа и управления скомпрометированными системами.
Группировка Space Pirates с китайскими корнями атакует важные российские и сербские организации
Deed RAT считается деривативом от троянца ShadowPad, который, в свою очередь, сам является «эволюционировавшим» вариантом PlugX. И ShadowPad, и PlugX активно использовались китайскими кибершпионскими соединениями.
«Это означает, скорее всего, китайское происхождение и этого вредоноса, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — И это, в свою очередь, указывает и на региональное происхождение Space Pirates и их заказчиков. И хотя хакеры могут использовать опенсорсные или совсем чужие инструменты для заметания следов, в данном случае речь идет об эксклюзивной программе, которой не пользуется никто, кроме Space Pirates».
Доработка DeedRAT продолжается и по сей день. На данный момент он существует в двух вариациях — 32-битной и 64-битной. Кроме того, он способен подтягивать дополнительные модули с удаленного сервера.
DeedRAT может служить средством подгрузки и установки вредоносов следующей стадии, таких как Voidoor.
Voidtools — это, собственно, разработчик бесплатной поисковой утилиты для десктопов под управлением Microsoft Windows. Их форум базируется на популярной опенсорсной платформе MyBB. Voidoor соединяется с форумом под встроенными в него логином и паролем и проверяет внутрифорумные прямые сообщения — с целью найти каталог, обозначенный идентификатором очередной жертвы.
Связанные с Voidoor аккаунты были зарегистрированы на GitHub и Voidtools в ноябре 2022 г.
В отчете Positive Technologies также указывается, что хакеры Space Pirates активно разрабатывают новые инструменты для взлома и вывода данных, а кроме того, применяют обширный ассортимент общедоступных инструментов для передвижения по сетям и используют сканер уязвимостей Acutinex для предварительной разведки целевой инфраструктуры.
Источник
«Это означает, скорее всего, китайское происхождение и этого вредоноса, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — И это, в свою очередь, указывает и на региональное происхождение Space Pirates и их заказчиков. И хотя хакеры могут использовать опенсорсные или совсем чужие инструменты для заметания следов, в данном случае речь идет об эксклюзивной программе, которой не пользуется никто, кроме Space Pirates».
Доработка DeedRAT продолжается и по сей день. На данный момент он существует в двух вариациях — 32-битной и 64-битной. Кроме того, он способен подтягивать дополнительные модули с удаленного сервера.
DeedRAT может служить средством подгрузки и установки вредоносов следующей стадии, таких как Voidoor.
Сценический дебют
Этот вредонос попался исследователям впервые. Выяснилось, что Voidoor запрограммирован на установку соединений с легитимным форумом компании Voidtools и репозиторием GitHub, связанным с пользователем hasdhuahd, используемым в качестве контрольного сервера.Voidtools — это, собственно, разработчик бесплатной поисковой утилиты для десктопов под управлением Microsoft Windows. Их форум базируется на популярной опенсорсной платформе MyBB. Voidoor соединяется с форумом под встроенными в него логином и паролем и проверяет внутрифорумные прямые сообщения — с целью найти каталог, обозначенный идентификатором очередной жертвы.
Связанные с Voidoor аккаунты были зарегистрированы на GitHub и Voidtools в ноябре 2022 г.
В отчете Positive Technologies также указывается, что хакеры Space Pirates активно разрабатывают новые инструменты для взлома и вывода данных, а кроме того, применяют обширный ассортимент общедоступных инструментов для передвижения по сетям и используют сканер уязвимостей Acutinex для предварительной разведки целевой инфраструктуры.
Источник
Следующая публикация
Нет комментариев