По полученным данным, неизвестная ранее APT-группа действует как минимум с 2017 года, ее ключевые интересы — шпионаж и кража конфиденциальной информации. Эксперты Positive Technologies дали группировке имя Space Pirates по направленности первой выявленной ими атаки на авиационно-космический сектор и строке P1Rat, которую атакующие использовали в PDB[1]-путях.
В первый раз следы активности группы экспертный центр зафиксировал в конце 2019 года, когда одно российское авиационно-космическое предприятие получило фишинговое письмо с ранее не встречавшимся вредоносным ПО. В течение двух последующих лет специалисты PT ESC выявили еще четыре отечественные компании (причем две из них — с госучастием), которые были скомпрометированы с использованием того же ВПО и сетевой инфраструктуры.
По оценке экспертов Positive Technologies, по меньшей мере две атаки Space Pirates в России оказались успешными. В первом случае злоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10 месяцев. За это время они похитили более 1500 внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов. Во втором — атакующим удалось закрепиться в сети компании более чем на год, получить сведения о входящих в сеть компьютерах и установить свое ВПО по крайней мере на 12 корпоративных узлов в трех различных регионах.
Особый интерес представляет инструментарий Space Pirates, который состоит из уникальных загрузчиков (в изучаемых случаях они содержали приманки с русским текстом) и ранее не описанных бэкдоров[2], таких как MyKLoadClient, BH_A006 и Deed RAT.
«Зловреды собственной разработки специфичны, поэтому по ним можно вычислять причастность Space Pirates к той или иной кибератаке. Например, в бэкдоре, который мы назвали Deed RAT, реализован нестандартный метод передачи управления шеллкоду, — рассказал Алексей Захаров, старший специалист отдела исследования угроз ИБ Positive Technologies. — Именно шеллкод позволяет злоумышленникам получать права администратора на зараженном компьютере».
В арсенале Space Pirates есть и хорошо известное ВПО: бэкдоры PlugX, PoisonIvy, ShadowPad, Zupdax и публичный шелл[3] ReVBShell. Также атакующие применяют билдер[4] Royal Road RTF (или 8.t) и модифицированный бэкдор PcShare, встречаемые главным образом в среде хакеров азиатского происхождения, а в ресурсах, SFX-архивах и путях к PDB-файлам активно используется китайский язык. Вредоносы чаще всего распространяют с помощью целевого фишинга, то есть группировка всегда точно знает, кого атакует.
Изучив деятельность APT-группы, эксперты компании также обнаружили большое число пересечений с ранее известной активностью, которую исследователи связывают с группировками Winnti (APT41), Bronze Union (APT27), TA428, RedFoxtrot, Mustang Panda и Night Dragon. Вероятная причина, по словам специалистов Positive Technologies, кроется в обмене инструментарием между группировками. Это частое явление для APT-групп азиатского региона.
«В одном из расследований мы наблюдали на зараженных компьютерах активность не только группы Space Pirates, но и TA428, а по сетевой инфраструктуре в другой атаке мы проследили связь между Zupdax и трояном RemShell, приписываемым TA428. Это позволяет утверждать, что Space Pirates и TA428 могут объединять усилия и делиться инструментами, сетевыми ресурсами и доступами к инфицированным системам», — комментирует Денис Кувшинов, руководитель отдела исследования угроз ИБ Positive Technologies.
Ключевые связи Space Pirates c известными APT-группировками, семействами ВПО и фрагментами сетевой инфраструктуры
Экспертный центр безопасности Positive Technologies продолжает отслеживать активность Space Pirates и ее связи с другими APT-группировками.
[1] Репозиторий для хранения информации, необходимой для запуска программ в режиме отладки.
[2] Вредоносная программа, которая позволяет получить несанкционированный доступ к данным или удаленному управлению ОС.
[3] Часть кода, встроенного во вредоносную программу, который передает управление командному процессору после заражения целевой системы жертвы.
[4] Программа для создания вредоносных файлов, эксплуатирующих уязвимости и (или) запускающих вредоносное ПО.