Haker poznat kao Svemirski pirati je povezan sa napadima na najmanje 16 organizacija u Rusiji i Srbiji tokom prošle godine primenom novih taktika i dodavanjem novog kibernetičkih oružja svom arsenalu.
“Glavni ciljevi kibernetičkih kriminalaca su i dalje špijunaža i krađa povjerljivih informacija, ali grupa je proširila svoje interese i geografiju svojih napada”, navodi Positive Technologies u dubokom izvještaju objavljenom prošle sedmice.
Ciljevi su vladine agencije, obrazovne institucije, privatne kompanije za obezbeđenje, proizvođači vazduhoplovstva, poljoprivredni proizvođači, odbrambene, energetske i zdravstvene kompanije u Rusiji i Srbiji.
Svemirske pirate je prvi put razotkrila ruska kompanija za kibernetičku sigurnost u maju 2022. godine, ističući njene napade na avio-svemirski sektor u zemlji. Grupa, za koju se navodi da je aktivna barem od kraja 2019. godine, ima veze sa drugim protivnikom kojeg Symantec prati kao Webworm.
Analiza napadačke infrastrukture od strane Positive Technologies otkrila je interes hakera za prikupljanje PST arhiva e-pošte, kao i za korištenje Deed RAT-a, malicioznog artefakta koji se isključivo pripisuje protivničkom kolektivu.
Za Deed RAT se kaže da je nasljednik ShadowPad-a, koji je sam po sebi evolucija PlugX-a, a oba naširoko koriste kineske ekipe za kibernetičku špijunažu. U toku aktivnog razvoja, malver dolazi u 32- i 64-bitnim verzijama i opremljen je za dinamičko preuzimanje dodatnih dodataka sa udaljenog servera.
Ovo uključuje Disk dodatak za nabrajanje datoteka i foldera, izvršavanje naredbi, pisanje proizvoljnih datoteka na disk i povezivanje na mrežne diskove i Portmap modul koji se koristi za prosljeđivanje portova.
Deed RAT također funkcionira kao kanal za opsluživanje korisnih opterećenja sljedeće faze kao što je Voidoor, ranije nedokumentirani maliciozni softver koji je dizajniran da kontaktira legitimni forum pod nazivom Voidtools i GitHub spremište povezano s korisnikom po imenu “hasdhuahd” za komandu i kontrolu ( C2).
Voidtools je programer besplatnog uslužnog programa za pretraživanje desktopa za Microsoft Windows pod nazivom Everything, čiji forum pokreće softver otvorenog koda pod nazivom MyBB. Primarni cilj Voidoora je da se prijavite na forum koristeći tvrdo kodirane akreditive i pristupite korisnikovom sistemu za ličnu razmenu poruka kako biste potražili fasciklu koja odgovara određenom ID-u žrtve.
Dokazi pokazuju da su nalozi na GitHubu i voidtools registrovani negde u novembru 2022. godine.
“Hakeri rade na novom malveru koji implementira nekonvencionalne tehnike, kao što je voidoor, i modificiraju svoj postojeći maliciozni softver”, rekli su iz Positive Technologies, dodajući da hakeri koriste “veliki broj javno dostupnih alata za navigaciju mrežama” i koriste ranjivost Acunetixa na webu skener za “izviđanje infrastrukture na koju cilja.”
Izvor: The Hacker News
