Ранее неизвестная китайская хакерская группа, известная как «Космические пираты», нацелена на предприятия российской аэрокосмической отрасли, рассылая фишинговые электронные письма с целью установить на их системы новые вредоносные программы.
Считается, что группа угроз начала действовать в 2017 году, и, хотя она имеет связи с известными группами, такими как APT41 (Winnti), Mustang Panda и APT27, считается, что это новый кластер вредоносной активности.
Российские аналитики угроз из Positive Technologies назвали группу «Космическими пиратами» из-за их шпионских операций, направленных на кражу конфиденциальной информации у компаний в аэрокосмической сфере.
APT-группа Space Pirates была замечена в нападениях на государственные учреждения и предприятия, занимающиеся ИТ-услугами, аэрокосмической и электроэнергетической промышленностью, расположенные в России, Грузии и Монголии.
Аналитики угроз впервые обнаружили признаки активности Space Pirates прошлым летом во время реагирования на инциденты и быстро подтвердили, что с 2019 года злоумышленники использовали одно и то же вредоносное ПО и инфраструктуру как минимум еще для четырех местных организаций.
Два из этих дел касаются российских компаний с госучастием, которые хакерам удалось скомпрометировать.
В первом случае злоумышленники сохраняли доступ к 20 серверам в течение десяти месяцев, похитив более 1500 документов, сведения о сотрудниках и другие конфиденциальные данные.
Во втором случае китайские хакеры находились в сети скомпрометированной компании более года, перекачивая конфиденциальную информацию и устанавливая свое вредоносное ПО на 12 узлов корпоративной сети в трех разных регионах.
Арсенал Space Pirates состоит из пользовательских загрузчиков, скрывающихся за документами-приманками, слегка модифицированных бэкдоров, которые существуют уже много лет, вредоносного ПО китайской торговой марки PlugX и адаптированных спинов бэкдора PcShare.
Кроме того, в атаках Space Pirates также использовались ShadowPad, Zupdax, PoisonIvy и ReVBShell.
В дополнение к вышесказанному, недавно обнаруженная APT использует три ранее недокументированных модульных вредоносных инструмента, а именно Deed RAT, BH_A006 и MyKLoadClient.
MyKLoadClient — это загрузчик, использующий SFX-архивы в сочетании с боковой загрузкой DLL через вспомогательную библиотеку запуска, подписанную McAfee Inc. Программа запуска поддерживает команды, которые дают злоумышленникам полный контроль над заражением.
BH_A006 — это сильно модифицированная версия бэкдора Gh0st, включающая множество уровней обфускации для обхода средств защиты и анализа.
Его возможности включают создание сетевых служб, обход UAC, распаковку и запуск шелл-кода в памяти.
