Η ομάδα hacking Space Pirates συνδέεται με επιθέσεις κατά τουλάχιστον 16 οργανισμών στη Ρωσία και τη Σερβία τον περασμένο χρόνο, χρησιμοποιώντας νέες τακτικές και προσθέτοντας νέα κυβερνοεργαλεία στην φαρέτρα της.
Δείτε επίσης: Χάκερ νοικιάζουν το WikiLoader για να επιτεθούν σε ιταλικούς οργανισμούς με banking trojan
«Οι βασικοί στόχοι των κυβερνοεγκληματιών εξακολουθούν να είναι η κατασκοπεία και η κλοπή εμπιστευτικών πληροφοριών, αλλά η ομάδα έχει επεκτείνει τα συμφέροντά της και τη γεωγραφία των επιθέσεων της», ανέφερε η Positive Technologies σε μια έκθεση βαθιάς κατάδυσης που δημοσιεύθηκε την περασμένη εβδομάδα.
Οι στόχοι περιλαμβάνουν κυβερνητικούς φορείς, εκπαιδευτικά ιδρύματα, ιδιωτικές εταιρείες ασφαλείας, κατασκευαστές αεροδιαστημάτων, γεωργικούς παραγωγούς, άμυνα, ενέργεια και εταιρείες υγείας στη Ρωσία και τη Σερβία.
Δείτε επίσης: Minecraft: Η ευπάθεια BleedingPipe βάζει σε κίνδυνο τους παίκτες
Οι Space Pirates αποκαλύφθηκαν για πρώτη φορά από τη ρωσική εταιρεία κυβερνοασφάλειας τον Μάιο του 2022, επισημαίνοντας τις επιθέσεις τους στον αεροδιαστημικό τομέα της χώρας. Οι Space Pirates, οι οποίοι φαίνεται να είναι ενεργοί από το τέλος του 2019 τουλάχιστον, έχουν συνδέσεις με έναν άλλο αντίπαλο που παρακολουθείται από τη Symantec ως Webworm.
Η ανάλυση της υποδομής επίθεσης από την Positive Technologies αποκάλυψε το ενδιαφέρον του δράστη για τη συλλογή αρχείων PST email καθώς και τη χρήση του Deed RAT, ενός κακόβουλου προϊόντος λογισμικού που αποδίδεται αποκλειστικά στο adversarial collective.
Λέγεται ότι το Deed RAT είναι ο διάδοχος του ShadowPad, που αποτελεί καθεαυτό μια εξέλιξη του PlugX, και τα δύο από τα οποία χρησιμοποιούνται ευρέως από Κινεζικές ομάδες κυβερνοεπιθέσεων. Σε ενεργή ανάπτυξη, το κακόβουλο λογισμικό έρχεται σε εκδόσεις 32- και 64-bit και είναι εφοδιασμένο να ανακτά δυναμικά επιπλέον πρόσθετα από ένα remote server.
Αυτό περιλαμβάνει ένα Disk plug-in για να απαριθμεί αρχεία και φακέλους, να εκτελεί εντολές, να γράφει αυθαίρετα αρχεία στον δίσκο και να συνδέεται με network drives, καθώς και ένα Portmap module που χρησιμοποιείται για προώθηση θυρών.
Δείτε επίσης: P2PInfect malware: Επιθέσεις σε SSH και Redis για δημιουργία botnet
Το Deed RAT λειτουργεί επίσης ως ένας κανάλι για την παροχή επόμενων φορτίων στο επόμενο στάδιο, όπως το Voidoor, ένα προηγουμένως μη τεκμηριωμένο κακόβουλο λογισμικό που σχεδιάστηκε για να επικοινωνεί με ένα νόμιμο φόρουμ με το όνομα Voidtools και ένα GitHub repository που σχετίζεται με έναν χρήστη με το όνομα “hasdhuahd” για command-and-control (C2).
Το Voidtools είναι ο developer ενός δωρεάν desktop search utility για τα Microsoft Windows που ονομάζεται Everything, με το φόρουμ του να τροφοδοτείται χρησιμοποιώντας ένα λογισμικό ανοιχτού κώδικα που ονομάζεται MyBB. Ο πρωταρχικός στόχος του Voidoor είναι να συνδεθείτε στο φόρουμ χρησιμοποιώντας hard-coded credentials και να αποκτήσετε πρόσβαση στο προσωπικό σύστημα ανταλλαγής μηνυμάτων του χρήστη για να αναζητήσετε έναν φάκελο που ταιριάζει με ένα συγκεκριμένο αναγνωριστικό θύματος.
Τα στοιχεία δείχνουν ότι οι λογαριασμοί στο GitHub και στο voidtools εγγράφηκαν κάποια στιγμή τον Νοέμβριο του 2022.
Πηγή πληροφοριών: thehackernews.com
