През изминалата година извършителят на атаки, известен като Space Pirates, е свързан с атаки срещу поне 16 организации в Русия и Сърбия, като е използвал нови тактики и е добавил нови кибернетични оръжия към арсенала си.
„Основните цели на киберпрестъпниците все още са шпионаж и кражба на поверителна информация, но групата е разширила интересите си и географията на атаките си“, заявиха от Positive Technologies в доклад за задълбочено проучване, публикуван миналата седмица.
Целите включват правителствени агенции, образователни институции, частни охранителни фирми, производители на аерокосмическа техника, земеделски производители, фирми в областта на отбраната, енергетиката и здравеопазването в Русия и Сърбия.
Анализът на Positive Technologies на инфраструктурата за атаки разкрива интереса на субекта на заплаха към събирането на архиви на PST имейли, както и използването на Deed RAT – артефакт на зловреден софтуер, който се приписва изключително на противниковия колектив.
Твърди се, че Deed RAT е наследник на ShadowPad, който сам по себе си е еволюция на PlugX, като и двата са широко използвани от китайските екипи за кибершпионаж. В процес на активна разработка, зловредният софтуер се предлага в 32- и 64-битови версии и е оборудван с възможност за динамично извличане на допълнителни плъгини от отдалечен сървър.
Това включва плъгин Disk за изброяване на файлове и папки, изпълнение на команди, записване на произволни файлове на диска и свързване към мрежови устройства и модул Portmap, който се използва за пренасочване на портове.
Deed RAT функционира и като канал за обслужване на полезен товар на следващ етап, като Voidoor, недокументиран досега зловреден софтуер, който е предназначен да се свързва с легитимен форум, наречен Voidtools, и с хранилище в GitHub, свързано с потребител на име „hasdhuahd“ за командване и управление (C2).
Space Pirates беше разкрита за първи път от руската компания за киберсигурност през май 2022 г., като се подчертаха нейните атаки срещу аерокосмическия сектор в страната. Групата, за която се твърди, че е активна поне от края на 2019 г., има връзки с друг противник, проследен от Symantec като Webworm.
Voidtools е разработчик на безплатна помощна програма за търсене на десктоп за Microsoft Windows, наречена Everything, като нейният форум се захранва с помощта на софтуер за форуми с отворен код, наречен MyBB. Основната цел на Voidoor е да влезе във форума, използвайки твърдо кодирани идентификационни данни, и да получи достъп до личната система за съобщения на потребителя, за да търси папка, отговаряща на определен идентификационен номер на жертвата.
Доказателствата показват, че акаунтите в GitHub и voidtools са били регистрирани някъде през ноември 2022 г.
„Хакерите работят върху нов зловреден софтуер, който прилага неконвенционални техники, като voidoor, и модифицират съществуващия си зловреден софтуер“, казват от Positive Technologies, като добавят, че заплахите използват „голям брой публично достъпни инструменти за навигация в мрежите“ и използват уеб скенера за уязвимости Acunetix, за да „разузнават инфраструктурите, към които са насочени“.
