Uzay Korsanları olarak bilinen tehdit oyuncusu, Rus bilgi teknolojisi (BT) kuruluşlarını daha önce LuckyStrike Agent adlı belgelenmemiş bir kötü amaçlı yazılımla hedefleyen kötü niyetli bir kampanyayla bağlantılıdır.
Etkinlik, Kasım 2024’te Rus devlete ait telekom şirketi Rostelecom’un siber güvenlik kolu Solar tarafından tespit edildi. Erudite Mogwai adının altındaki etkinliği izliyor.
Saldırılar ayrıca, ShadowPad Light olarak da adlandırılan Deed Rat gibi diğer araçların kullanımı ve daha önce Çin bağlantılı diğer hack grupları tarafından kullanılan STOWAWAWAY adlı özelleştirilmiş bir sürümle karakterize edilmektedir.
Solar araştırmacıları, “Erudite Mogwai, gizli bilgi ve casusluk hırsızlığı konusunda uzmanlaşmış aktif APT gruplarından biridir.” Dedi. “En az 2017’den bu yana, grup devlet kurumlarına, çeşitli kuruluşların BT departmanlarına ve havacılık ve elektrik gücü gibi yüksek teknoloji endüstrileri ile ilgili işletmelere saldırıyor.”
Tehdit oyuncusu ilk olarak 2022’de Pozitif Teknolojiler tarafından halka açık bir şekilde belgelendi ve tapu sıçan kötü amaçlı yazılımlarını özel olarak kullandı. Grubun taktik örtüşmeleri Webworm adlı başka bir hack grubuyla paylaştığına inanılıyor. Rusya, Gürcistan ve Moğolistan’daki örgütleri hedeflediği biliniyor.
Bir hükümet sektörü müşterisini hedefleyen saldırılardan birinde Solar, saldırganın keşifleri kolaylaştırmak için çeşitli araçlar kullandığını keşfettiğini, aynı zamanda komuta ve kontrol (C2) için Microsoft OneDrive’ı kullanan çok fonksiyonlu bir .NET arka kapısı olan LuckyStrike Ajanını düşürdüğünü söyledi.
Solar, “Saldırganlar, 2023 Mart’tan en geç erişilebilir bir web hizmetinden ödün vererek altyapıya erişim sağladı ve daha sonra altyapıda ‘düşük asılı meyve’ aramaya başladı.” Dedi. “19 ay boyunca, saldırganlar Kasım 2024’te izlemeye bağlı ağ segmentlerine ulaşana kadar müşterinin sistemlerine yavaşça yayıldı.”
Ayrıca, LZ4’ü bir sıkıştırma algoritması olarak kullanmanın yanı sıra, bir şifreleme algoritması olarak XXTEA’yı içeren ve Quic taşıma protokolüne destek eklemenin yanı sıra, yalnızca proxy işlevini korumak için STOWAWAWAY’ın değiştirilmiş bir sürümünün kullanılması da dikkat çekicidir.
Solar, “Erudite Mogwai, ihtiyaç duymadıkları işlevselliği azaltarak bu yardımcı programı değiştirme yolculuğuna başladı.” Dedi. “İşlevleri yeniden adlandırma ve yapıların boyutlarını değiştirme gibi küçük düzenlemelerle devam ettiler (muhtemelen mevcut algılama imzalarını yıkmak için). Şu anda, bu grup tarafından kullanılan STOWAWAY sürümüne tam teşekküllü bir çatal denebilir.”