1. Главная
  2. Новости
  3. Группа Space Pirates атакует госсектор, электроэнергетику и авиационно-космическую отрасль в России

Группа Space Pirates атакует госсектор, электроэнергетику и авиационно-космическую отрасль в России

Группа Space Pirates атакует госсектор, электроэнергетику и авиационно-космическую отрасль в России

Специалисты Positive Technologies рассказали об обнаружении новой хак-группы, получившей имя Space Pirates. В России злоумышленники атаковали по меньшей мере пять организаций, в Грузии — одну, а точное число пострадавших в Монголии на данный момент неизвестно. Среди целей атакующих — госучреждения и предприятия из авиационно-космической и электроэнергетической отраслей.

Сообщается, что неизвестная ранее APT-группа действует как минимум с 2017 года, а ее ключевые интересы — шпионаж и кража конфиденциальной информации. Эксперты дали группировке имя Space Pirates по направленности первой выявленной атаки на авиационно-космический сектор и строке P1Rat, которую хакеры использовали в PDB-путях.

В первый раз активность группы зафиксировали в конце 2019 года, когда неназванное российское авиационно-космическое предприятие получило фишинговое письмо с ранее не встречавшейся малварью. В течение двух последующих лет специалисты PT ESC выявили еще четыре отечественные компании (причем две из них — с госучастием), которые были скомпрометированы с использованием той же малвари и сетевой инфраструктуры.

По оценке исследователей, по меньшей мере две атаки Space Pirates в России оказались успешными. В первом случае злоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10 месяцев. За это время они похитили более 1500 внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов. Во втором — атакующим удалось закрепиться в сети компании более чем на год, получить сведения о входящих в сеть компьютерах и установить свою малварь по крайней мере на 12 корпоративных узлов в трех различных регионах.

Эксперты говорят, что особый интерес представляет инструментарий Space Pirates, который состоит из уникальных загрузчиков (в изучаемых случаях они содержали приманки с русским текстом) и ранее не описанных бэкдоров, таких как MyKLoadClient, BH_A006 и Deed RAT.

«Зловреды собственной разработки специфичны, поэтому по ним можно вычислять причастность Space Pirates к той или иной кибератаке. Например, в бэкдоре, который мы назвали Deed RAT, реализован нестандартный метод передачи управления шеллкоду, — комментирует Алексей Захаров, старший специалист отдела исследования угроз ИБ Positive Technologies. — Именно шеллкод позволяет злоумышленникам получать права администратора на зараженном компьютере».

Также в арсенале Space Pirates есть и хорошо известная малварь: бэкдоры PlugX, PoisonIvy, ShadowPad, Zupdax и публичный шелл ReVBShell. Кроме того, атакующие применяют билдер Royal Road RTF (или 8.t) и модифицированный бэкдор PcShare, которые встречаются в основном в среде хакеров азиатского происхождения, а в ресурсах, SFX-архивах и путях к PDB-файлам активно используется китайский язык. Вредоносы чаще всего распространяют с помощью целевого фишинга, то есть группировка всегда точно знает, кого атакует.

Изучив деятельность хак-группы, эксперты также обнаружили большое число пересечений с ранее известной активностью, которую исследователи связывают с группировками Winnti (APT41), Bronze Union (APT27), TA428, RedFoxtrot, Mustang Panda и Night Dragon. Вероятная причина, по словам специалистов, кроется в обмене инструментарием между группировками. Это частое явление для APT-групп азиатского региона.

«В одном из расследований мы наблюдали на зараженных компьютерах активность не только группы Space Pirates, но и TA428, а по сетевой инфраструктуре в другой атаке мы проследили связь между Zupdax и трояном RemShell, приписываемым TA428. Это позволяет утверждать, что Space Pirates и TA428 могут объединять усилия и делиться инструментами, сетевыми ресурсами и доступами к инфицированным системам», — говорит Денис Кувшинов, руководитель отдела исследования угроз ИБ Positive Technologies.

Теги:

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
CISO Форум 2026: итоги клубной встречи лидеров информационной безопасности
CISO Форум 2026: итоги клубной встречи лидеров информационной безопасности

28 апреля 2026 года в Москве, в Центре международной торговли, состоялся CISO FORUM 2026 - профессиональная площадка для CISO, CIO и архитекторов ИБ, где информационная безопасность обсуждается без маркетинга, на языке реальных кейсов, инцидентов и бизнес-решений.

подробнее Стрелочка
Будущие инженеры научатся решать отраслевые задачи на базе ПО «Группы Астра»
Будущие инженеры научатся решать отраслевые задачи на базе ПО «Группы Астра»

Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ) и АНО по развитию информационных технологий и цифровых компетенций «Астра Академия» подписали соглашение о сотрудничестве.

подробнее Стрелочка