Группа Space Pirates атакует госсектор, электроэнергетику и авиационно-космическую отрасль в России

17.05.2022
Группа Space Pirates атакует госсектор, электроэнергетику и авиационно-космическую отрасль в России

Специалисты Positive Technologies рассказали об обнаружении новой хак-группы, получившей имя Space Pirates. В России злоумышленники атаковали по меньшей мере пять организаций, в Грузии — одну, а точное число пострадавших в Монголии на данный момент неизвестно. Среди целей атакующих — госучреждения и предприятия из авиационно-космической и электроэнергетической отраслей.

Сообщается, что неизвестная ранее APT-группа действует как минимум с 2017 года, а ее ключевые интересы — шпионаж и кража конфиденциальной информации. Эксперты дали группировке имя Space Pirates по направленности первой выявленной атаки на авиационно-космический сектор и строке P1Rat, которую хакеры использовали в PDB-путях.

В первый раз активность группы зафиксировали в конце 2019 года, когда неназванное российское авиационно-космическое предприятие получило фишинговое письмо с ранее не встречавшейся малварью. В течение двух последующих лет специалисты PT ESC выявили еще четыре отечественные компании (причем две из них — с госучастием), которые были скомпрометированы с использованием той же малвари и сетевой инфраструктуры.

По оценке исследователей, по меньшей мере две атаки Space Pirates в России оказались успешными. В первом случае злоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10 месяцев. За это время они похитили более 1500 внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов. Во втором — атакующим удалось закрепиться в сети компании более чем на год, получить сведения о входящих в сеть компьютерах и установить свою малварь по крайней мере на 12 корпоративных узлов в трех различных регионах.

Эксперты говорят, что особый интерес представляет инструментарий Space Pirates, который состоит из уникальных загрузчиков (в изучаемых случаях они содержали приманки с русским текстом) и ранее не описанных бэкдоров, таких как MyKLoadClient, BH_A006 и Deed RAT.

«Зловреды собственной разработки специфичны, поэтому по ним можно вычислять причастность Space Pirates к той или иной кибератаке. Например, в бэкдоре, который мы назвали Deed RAT, реализован нестандартный метод передачи управления шеллкоду, — комментирует Алексей Захаров, старший специалист отдела исследования угроз ИБ Positive Technologies. — Именно шеллкод позволяет злоумышленникам получать права администратора на зараженном компьютере».

Также в арсенале Space Pirates есть и хорошо известная малварь: бэкдоры PlugX, PoisonIvy, ShadowPad, Zupdax и публичный шелл ReVBShell. Кроме того, атакующие применяют билдер Royal Road RTF (или 8.t) и модифицированный бэкдор PcShare, которые встречаются в основном в среде хакеров азиатского происхождения, а в ресурсах, SFX-архивах и путях к PDB-файлам активно используется китайский язык. Вредоносы чаще всего распространяют с помощью целевого фишинга, то есть группировка всегда точно знает, кого атакует.

Изучив деятельность хак-группы, эксперты также обнаружили большое число пересечений с ранее известной активностью, которую исследователи связывают с группировками Winnti (APT41), Bronze Union (APT27), TA428, RedFoxtrot, Mustang Panda и Night Dragon. Вероятная причина, по словам специалистов, кроется в обмене инструментарием между группировками. Это частое явление для APT-групп азиатского региона.

«В одном из расследований мы наблюдали на зараженных компьютерах активность не только группы Space Pirates, но и TA428, а по сетевой инфраструктуре в другой атаке мы проследили связь между Zupdax и трояном RemShell, приписываемым TA428. Это позволяет утверждать, что Space Pirates и TA428 могут объединять усилия и делиться инструментами, сетевыми ресурсами и доступами к инфицированным системам», — говорит Денис Кувшинов, руководитель отдела исследования угроз ИБ Positive Technologies.


Популярные материалы