Новая кибергруппировка атакует госсектор, электроэнергетику и авиационно-космическую отрасль в России

Экспертный центр безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружил новую киберпреступную группировку. В России злоумышленники атаковали по меньшей мере пять организаций, в Грузии - одну, а точное число пострадавших в Монголии на данный момент неизвестно. Среди целей атакующих, идентифицированных специалистами Positive Technologies, - госучреждения и предприятия из авиационно-космической и электроэнергетической отраслей.

По полученным данным, неизвестная ранее APT-группа действует как минимум с 2017 года, ее ключевые интересы - шпионаж и кража конфиденциальной информации. Эксперты Positive Technologies дали группировке имя Space Pirates по направленности первой выявленной ими атаки на авиационно-космический сектор и строке P1Rat, которую атакующие использовали в PDB-путях.

В первый раз следы активности группы экспертный центр зафиксировал в конце 2019 года, когда одно российское авиационно-космическое предприятие получило фишинговое письмо с ранее не встречавшимся вредоносным ПО. В течение двух последующих лет специалисты PT ESC выявили еще четыре отечественные компании (причем две из них - с госучастием), которые были скомпрометированы с использованием того же ВПО и сетевой инфраструктуры.

По оценке экспертов Positive Technologies, по меньшей мере две атаки Space Pirates в России оказались успешными. В первом случае злоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10 месяцев. За это время они похитили более 1500 внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов. Во втором - атакующим удалось закрепиться в сети компании более чем на год, получить сведения о входящих в сеть компьютерах и установить свое ВПО по крайней мере на 12 корпоративных узлов в трех различных регионах.

Особый интерес представляет инструментарий Space Pirates, который состоит из уникальных загрузчиков (в изучаемых случаях они содержали приманки с русским текстом) и ранее не описанных бэкдоров, таких как MyKLoadClient, BH_A006 и Deed RAT.

"Зловреды собственной разработки специфичны, поэтому по ним можно вычислять причастность Space Pirates к той или иной кибератаке. Например, в бэкдоре, который мы назвали Deed RAT, реализован нестандартный метод передачи управления шеллкоду, - рассказал Алексей Захаров, старший специалист отдела исследования угроз ИБ Positive Technologies. - Именно шеллкод позволяет злоумышленникам получать права администратора на зараженном компьютере".

В арсенале Space Pirates есть и хорошо известное ВПО: бэкдоры PlugX, PoisonIvy, ShadowPad, Zupdax и публичный шелл ReVBShell. Также атакующие применяют билдер Royal Road RTF (или 8.t) и модифицированный бэкдор PcShare, встречаемые главным образом в среде хакеров азиатского происхождения, а в ресурсах, SFX-архивах и путях к PDB-файлам активно используется китайский язык. Вредоносы чаще всего распространяют с помощью целевого фишинга, то есть группировка всегда точно знает, кого атакует.

Изучив деятельность APT-группы, эксперты компании также обнаружили большое число пересечений с ранее известной активностью, которую исследователи связывают с группировками Winnti (APT41), Bronze Union (APT27), TA428, RedFoxtrot, Mustang Panda и Night Dragon. Вероятная причина, по словам специалистов Positive Technologies, кроется в обмене инструментарием между группировками. Это частое явление для APT-групп азиатского региона.

"В одном из расследований мы наблюдали на зараженных компьютерах активность не только группы Space Pirates, но и TA428, а по сетевой инфраструктуре в другой атаке мы проследили связь между Zupdax и трояном RemShell, приписываемым TA428. Это позволяет утверждать, что Space Pirates и TA428 могут объединять усилия и делиться инструментами, сетевыми ресурсами и доступами к инфицированным системам", - комментирует Денис Кувшинов, руководитель отдела исследования угроз ИБ Positive Technologies.

Экспертный центр безопасности Positive Technologies продолжает отслеживать активность Space Pirates и ее связи с другими APT-группировками.

www.ptsecurity.com