Китайские «космические пираты» взламывают российские аэрокосмические компании

 

Ранее неизвестная китайская хакерская группа, известная как «Космические пираты», нацелена на предприятия российской аэрокосмической отрасли, рассылая фишинговые электронные письма с целью установить на их системы новые вредоносные программы.

Считается, что группа угроз начала действовать в 2017 году, и, хотя она имеет связи с известными группами, такими как APT41 (Winnti), Mustang Panda и APT27, считается, что это новый кластер вредоносной активности.

Российские аналитики угроз из Positive Technologies назвали группу «Космическими пиратами» из-за их шпионских операций, направленных на кражу конфиденциальной информации у компаний в аэрокосмической сфере.

APT-группа Space Pirates была замечена в нападениях на государственные учреждения и предприятия, занимающиеся ИТ-услугами, аэрокосмической и электроэнергетической промышленностью, расположенные в России, Грузии и Монголии.

Аналитики угроз впервые обнаружили признаки активности Space Pirates прошлым летом во время реагирования на инциденты и быстро подтвердили, что с 2019 года злоумышленники использовали одно и то же вредоносное ПО и инфраструктуру как минимум еще для четырех местных организаций.

Два из этих дел касаются российских компаний с госучастием, которые хакерам удалось скомпрометировать.

В первом случае злоумышленники сохраняли доступ к 20 серверам в течение десяти месяцев, похитив более 1500 документов, сведения о сотрудниках и другие конфиденциальные данные.

Во втором случае китайские хакеры находились в сети скомпрометированной компании более года, перекачивая конфиденциальную информацию и устанавливая свое вредоносное ПО на 12 узлов корпоративной сети в трех разных регионах.

Арсенал Space Pirates состоит из пользовательских загрузчиков, скрывающихся за документами-приманками, слегка модифицированных бэкдоров, которые существуют уже много лет, вредоносного ПО китайской торговой марки PlugX и адаптированных спинов бэкдора PcShare.

Кроме того, в атаках Space Pirates также использовались ShadowPad, Zupdax, PoisonIvy и ReVBShell.

В дополнение к вышесказанному, недавно обнаруженная APT использует три ранее недокументированных модульных вредоносных инструмента, а именно Deed RAT, BH_A006 и MyKLoadClient.

MyKLoadClient — это загрузчик, использующий SFX-архивы в сочетании с боковой загрузкой DLL через вспомогательную библиотеку запуска, подписанную McAfee Inc. Программа запуска поддерживает команды, которые дают злоумышленникам полный контроль над заражением.

BH_A006 — это сильно модифицированная версия бэкдора Gh0st, включающая множество уровней обфускации для обхода средств защиты и анализа.

Его возможности включают создание сетевых служб, обход UAC, распаковку и запуск шелл-кода в памяти.