04 Августа 2023 10:41 04 Авг 2023 10:41 |

Поделиться

Китайские хакеры изощренно атаковали аэрокосмические компании России и важные предприятия Сербии

16 жертв кибершпионажа

По меньшей мере 16 организаций в России и Сербии стали жертвами атак со стороны кибергруппировки Space Pirates. Операторы этих атак использовали новаторскую тактику и новые инструменты.

Как сообщается в отчете компании Positive Technologies, деятельность «космических пиратов» сводится к кибершпионажу и хищению конфиденциальной информации. Теперь они расширили и географический ареал, и сферу интересов — отраслевой диапазон жертв атак.

Сейчас Space Pirates пытаются атаковать правительственные учреждения, образовательные институты, частные охранные компании, аэрокосмические организации, производителей сельскохозяйственной продукции, оборонные, энергетические и медицинские фирмы в России и Сербии.

Активны с 2019 года

PositiveTechnologies выявила группировку Space Pirates в мае 2022 г., когда ее члены атаковали ряд компаний аэрокосмического сектора. Однако в Positive утверждают, что группировка была активной самое позднее с конца 2019 г., и что она как-то связана с другой группировкой, которую Symantec называет Webworm.

Анализ инфраструктуры злоумышленников показал, что они питают особенную слабость к архивам e-mail в формате PST, а также активно используют Deed RAT — свой эксклюзивный троянец, предназначенный для удаленного доступа и управления скомпрометированными системами.

Deed RAT считается деривативом от троянца ShadowPad, который, в свою очередь, сам является «эволюционировавшим» вариантом PlugX. И ShadowPad, и PlugX активно использовались китайскими кибершпионскими соединениями.

«Это означает, скорее всего, китайское происхождение и этого вредоноса, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — И это, в свою очередь, указывает и на региональное происхождение Space Pirates и их заказчиков. И хотя хакеры могут использовать опенсорсные или совсем чужие инструменты для заметания следов, в данном случае речь идет об эксклюзивной программе, которой не пользуется никто, кроме Space Pirates».

Доработка DeedRAT продолжается и по сей день. На данный момент он существует в двух вариациях — 32-битной и 64-битной. Кроме того, он способен подтягивать дополнительные модули с удаленного сервера.

DeedRAT может служить средством подгрузки и установки вредоносов следующей стадии, таких как Voidoor.

Сценический дебют

Этот вредонос попался исследователям впервые. Выяснилось, что Voidoor запрограммирован на установку соединений с легитимным форумом компании Voidtools и репозиторием GitHub, связанным с пользователем hasdhuahd, используемым в качестве контрольного сервера.

8 задач, чтобы перезапустить инженерную школу в России

импортонезависимость

Voidtools — это, собственно, разработчик бесплатной поисковой утилиты для десктопов под управлением Microsoft Windows. Их форум базируется на популярной опенсорсной платформе MyBB. Voidoor соединяется с форумом под встроенными в него логином и паролем и проверяет внутрифорумные прямые сообщения — с целью найти каталог, обозначенный идентификатором очередной жертвы.

Связанные с Voidoor аккаунты были зарегистрированы на GitHub и Voidtools в ноябре 2022 г.

В отчете Positive Technologies также указывается, что хакеры Space Pirates активно разрабатывают новые инструменты для взлома и вывода данных, а кроме того, применяют обширный ассортимент общедоступных инструментов для передвижения по сетям и используют сканер уязвимостей Acutinex для предварительной разведки целевой инфраструктуры.

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка