Pesquisadores expõem a campanha cibernética dos piratas espaciais na Rússia e na Sérvia

O agente da ameaça conhecido como Space Pirates foi associado a ataques contra pelo menos 16 organizações na Rússia e na Sérvia no ano passado, empregando novas táticas e adicionando novas armas cibernéticas ao seu arsenal.

“Os principais objetivos dos cibercriminosos ainda são espionagem e roubo de informações confidenciais, mas o grupo ampliou seus interesses e a geografia de seus ataques”, disse a Positive Technologies em um relatório detalhado publicado na semana passada.

Os alvos incluem agências governamentais, instituições educacionais, empresas de segurança privada, fabricantes aeroespaciais, produtores agrícolas, empresas de defesa, energia e saúde na Rússia e na Sérvia.

O Space Pirates foi exposto pela primeira vez pela empresa russa de segurança cibernética em maio de 2022, destacando seus ataques ao setor aeroespacial do país. O grupo, considerado ativo desde pelo menos o final de 2019, tem links para outro adversário rastreado pela Symantec como Webworm .

A análise da infraestrutura de ataque da Positive Technologies revelou o interesse do agente da ameaça em coletar arquivos de e-mail PST, bem como fazer uso do Deed RAT, um artefato de malware atribuído exclusivamente ao coletivo adversário.

Diz-se que o Deed RAT é um sucessor do ShadowPad , que em si é uma evolução do PlugX , ambos amplamente usados ​​por equipes chinesas de espionagem cibernética. Em desenvolvimento ativo, o malware vem em versões de 32 e 64 bits e está equipado para recuperar dinamicamente plug-ins adicionais de um servidor remoto.

Isso inclui um plug-in de disco para enumerar arquivos e pastas, executar comandos, gravar arquivos arbitrários em disco e conectar-se a unidades de rede e um módulo Portmap usado para encaminhamento de porta.

O Deed RAT também funciona como um canal para servir cargas úteis de próximo estágio, como Voidoor, um malware não documentado anteriormente projetado para entrar em contato com um fórum legítimo chamado Voidtools e um repositório GitHub associado a um usuário chamado “hasdhuahd” para comando e controle ( C2).

Voidtools é o desenvolvedor de um utilitário de pesquisa de área de trabalho freeware para Microsoft Windows chamado Everything, com seu fórum alimentado por um software de fórum de código aberto chamado MyBB. O objetivo principal do Voidoor é fazer login no fórum usando credenciais codificadas e acessar o sistema de mensagens pessoais do usuário para procurar uma pasta que corresponda a um ID de vítima específico.

As evidências mostram que as contas no GitHub e voidtools foram registradas em novembro de 2022.

“Os hackers estão trabalhando em um novo malware que implementa técnicas não convencionais, como o Voidoor, e modificando o malware existente”, disse a Positive Technologies, acrescentando que os atores usam um “grande número de ferramentas disponíveis publicamente para navegar em redes” e aproveitam a vulnerabilidade da web Acunetix. scanner para “reconhecer as infra-estruturas que visa.”