Hakerska grupa poznata kao Space Pirates povezana je sa malicioznom kampanjom usmjerenom na ruske informacione tehnologije (IT) organizacije pomoću ranije nedokumentovanog malvera nazvanog LuckyStrike Agent.
Aktivnost je otkrivena u novembru 2024. godine od strane Solar-a, odjela za cyber sigurnost ruske državne telekomunikacione kompanije Rostelecom. Ova kampanja se prati pod nazivom Erudite Mogwai.
Napadi su takođe obilježeni korištenjem drugih alata poput Deed RAT-a (poznatog i kao ShadowPad Light) i prilagođene verzije proxy alata Stowaway, koji je ranije korišten od strane drugih hakerskih grupa povezanih s Kinom.
“Erudite Mogwai je jedna od aktivnih APT grupa specijalizovanih za krađu povjerljivih informacija i špijunažu,” naveli su istraživači Solar-a. “Od najmanje 2017. godine, grupa napada vladine agencije, IT sektore različitih organizacija, kao i preduzeća povezana s visokotehnološkim industrijama poput aeronautike i elektroenergetike.”
Prvi javni izvještaj o ovoj prijetnji objavila je kompanija Positive Technologies 2022. godine, detaljno opisujući njenu isključivu upotrebu malvera Deed RAT. Smatra se da ova grupa dijeli taktičke sličnosti sa drugom hakerskom grupom pod nazivom Webworm. Ciljane zemlje uključuju Rusiju, Gruziju i Mongoliju.
LuckyStrike Agent i tehnike napada
U jednom od napada na instituciju iz državnog sektora, istraživači Solar-a su otkrili da su napadači koristili različite alate za izviđanje sistema, a zatim implementirali LuckyStrike Agent – višenamjenski .NET backdoor koji koristi Microsoft OneDrive za command-and-control (C2) komunikaciju.
“Napadači su dobili pristup infrastrukturi kompromitujući javno dostupni web servis najkasnije u martu 2023. godine, nakon čega su tražili ‘lake mete’ u sistemu,” navodi Solar. “Tokom 19 mjeseci, napadači su se postepeno širili kroz mrežu žrtve, sve dok u novembru 2024. godine nisu dosegnuli segmente mreže povezane sa monitoringom.”
Takođe je primijećena upotreba modifikovane verzije Stowaway-a, koja zadržava samo proxy funkcionalnost. Ova verzija koristi LZ4 kao algoritam za kompresiju, XXTEA za enkripciju, i podržava QUIC transportni protokol.
“Erudite Mogwai je počeo s modifikacijom ovog alata uklanjanjem funkcionalnosti koje im nisu bile potrebne,” navode istraživači. “Zatim su izvršili manje izmjene, poput preimenovanja funkcija i promjene veličine struktura, vjerovatno kako bi zaobišli postojeće sigurnosne mehanizme. Trenutna verzija Stowaway-a koju koristi ova grupa može se smatrati potpunim fork-om.”
Izvor:The Hacker News
