1,5 года скрытого шпионажа: Space Pirates захватывает российские IT-системы

Группа хакеров Space Pirates запустила масштабную атаку на российские IT-организации, используя ранее неизвестное вредоносное ПО LuckyStrike Agent. Угрозу обнаружила компания Solar, которая классифицирует данную зловредную активность под кодовым названием Erudite Mogwai.

По данным исследователей, хакеры применяют не только новый вредонос, но и другие инструменты, такие как Deed RAT (он же ShadowPad Light) и модифицированную версию прокси-утилиты Stowaway. Последняя ранее была замечена в арсенале китайских кибергруппировок.

Erudite Mogwai, как сообщается, специализируется на кибер шпионаже и краже конфиденциальной информации. С 2017 года группировка атакует государственные учреждения, IT-отделы крупных компаний и предприятия высоких технологий, включая аэрокосмическую отрасль и энергетический сектор.

Эксперты Positive Technologies впервые задокументировали деятельность этой группы (названной Space Pirates) в 2022 году, тогда она использовала в атаках исключительно Deed RAT. В дальнейшем были выявлены тактические пересечения с другой кибергруппировкой — Webworm. Жертвами атак становились организации в России, Грузии и Монголии.

В одном из недавних случаев хакеры атаковали инфраструктуру государственного учреждения, получив доступ к публичному веб-сервису ещё в марте 2023 года. С этого момента они вели скрытную экспансию, постепенно охватывая всё больше систем. Спустя 19 месяцев, в ноябре 2024 года, им удалось проникнуть в сегменты сети, связанные с мониторингом.

LuckyStrike Agent представляет собой многофункциональный .NET-бэкдор, использующий Microsoft OneDrive для C2-операций. В ходе атаки злоумышленники задействовали его наряду с другими инструментами для разведки и расширения присутствия в системе.

Отдельного внимания заслуживает модификация Stowaway, которую хакеры доработали, сохранив только прокси-функционал. В новой версии утилиты используется алгоритм сжатия LZ4, шифрование XXTEA и поддержка протокола QUIC. По мнению специалистов Solar, это полноценный форк оригинальной программы. Помимо удаления ненужных возможностей, разработчики изменили названия функций и размеры структур, чтобы затруднить обнаружение на основе известных сигнатур.

Кибератака, продолжавшаяся почти два года, демонстрирует высокий уровень подготовки Erudite Mogwai. Группировка использует передовые техники скрытного проникновения и распространяет вредоносное ПО с уникальными модификациями, что делает её одной из самых опасных угроз для российских IT-компаний и госструктур.