Il gruppo di attori malevoli noto come Space Pirates è stato collegato a una campagna dannosa che prende di mira le organizzazioni di tecnologia dell’informazione (IT) russe con un malware precedentemente non documentato chiamato LuckyStrike Agent. L’attività è stata rilevata nel novembre 2024 da Solar, il braccio di cybersecurity della compagnia di telecomunicazioni statale russa Rostelecom, che sta monitorando l’attività sotto il nome di Erudite Mogwai.
Le caratteristiche degli attacchi includono l’uso di altri strumenti come Deed RAT, noto anche come ShadowPad Light, e una versione personalizzata di un’utilità proxy chiamata Stowaway, precedentemente utilizzata da altri gruppi di hacker legati alla Cina. “Erudite Mogwai è uno dei gruppi APT attivi specializzati nel furto di informazioni riservate e spionaggio”, hanno dichiarato i ricercatori di Solar. “Dal 2017, il gruppo attacca agenzie governative, dipartimenti IT di varie organizzazioni e imprese legate a industrie high-tech come l’aerospaziale e l’energia elettrica”.
Il gruppo di minaccia è stato documentato pubblicamente per la prima volta da Positive Technologies nel 2022, che ha dettagliato l’uso esclusivo del malware Deed RAT. Si ritiene che il gruppo condivida tattiche con un altro gruppo di hacker chiamato Webworm, noto per prendere di mira organizzazioni in Russia, Georgia e Mongolia.
In uno degli attacchi rivolti a un cliente del settore governativo, Solar ha scoperto che l’attaccante ha utilizzato vari strumenti per facilitare la ricognizione, distribuendo anche LuckyStrike Agent, un backdoor multi-funzionale .NET che utilizza Microsoft OneDrive per il comando e controllo (C2). “Gli attaccanti hanno ottenuto l’accesso all’infrastruttura compromettendo un servizio web accessibile pubblicamente non più tardi di marzo 2023, e poi hanno iniziato a cercare ‘frutti a portata di mano’ nell’infrastruttura”, ha detto Solar. “Nel corso di 19 mesi, gli attaccanti si sono lentamente diffusi nei sistemi del cliente fino a raggiungere i segmenti di rete collegati al monitoraggio nel novembre 2024”.
Degno di nota è anche l’uso di una versione modificata di Stowaway per mantenere solo la sua funzionalità proxy, utilizzando LZ4 come algoritmo di compressione, incorporando XXTEA come algoritmo di crittografia e aggiungendo il supporto per il protocollo di trasporto QUIC. “Erudite Mogwai ha iniziato il suo percorso nella modifica di questa utilità riducendo la funzionalità di cui non avevano bisogno”, ha detto Solar. “Hanno continuato con piccole modifiche, come rinominare funzioni e cambiare le dimensioni delle strutture (probabilmente per abbattere le firme di rilevamento esistenti). Al momento, la versione di Stowaway utilizzata da questo gruppo può essere definita un fork a tutti gli effetti”.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!