O agente de ameaças conhecido como Space Pirates foi associado a ataques contra pelo menos 16 organizações na Rússia e na Sérvia no ano passado, empregando novas táticas e adicionando novas armas cibernéticas ao seu arsenal.
“Os principais objetivos dos cibercriminosos ainda são a espionagem e o roubo de informações confidenciais, mas o grupo expandiu seus interesses e a geografia de seus ataques”, disse a Positive Technologies em um relatório detalhado publicado na semana passada.
Os alvos incluem agências governamentais, instituições educacionais, empresas de segurança privada, fabricantes aeroespaciais, produtores agrícolas, empresas de defesa, energia e saúde na Rússia e na Sérvia.
A Space Pirates foi exposta pela primeira vez pela empresa russa de cibersegurança em maio de 2022, destacando seus ataques ao setor aeroespacial no país. O grupo, que se acredita estar ativo pelo menos desde o final de 2019, tem ligações com outro adversário rastreado pela Symantec como Webworm.
A análise da Positive Technologies da infraestrutura de ataque revelou o interesse do agente da ameaça em coletar arquivos de e-mail PST, bem como fazer uso do Deed RAT, um artefato de malware atribuído exclusivamente ao coletivo adversário.
Deed RAT é dito ser um sucessor do ShadowPad, que em si é uma evolução do PlugX, ambos os quais são amplamente utilizados por equipes de espionagem cibernética chinesas. Em desenvolvimento ativo, o malware vem em versões de 32 e 64 bits e está equipado para recuperar dinamicamente plug-ins adicionais de um servidor remoto.
Isso inclui um plug-in de disco para enumerar arquivos e pastas, executar comandos, gravar arquivos arbitrários no disco e conectar-se a unidades de rede e a um módulo Portmap usado para encaminhamento de portas.
O Deed RAT também funciona como um canal para servir cargas úteis de próximo estágio, como o Voidoor, um malware não documentado anteriormente projetado para entrar em contato com um fórum legítimo chamado Voidtools e um repositório GitHub associado a um usuário chamado “hasdhuahd” para comando e controle (C2).
Voidtools é o desenvolvedor de um utilitário de pesquisa de desktop freeware para Microsoft Windows chamado Everything, com seu fórum alimentado usando um software de fórum de código aberto chamado MyBB. O principal objetivo do Voidoor é fazer login no fórum usando credenciais codificadas e acessar o sistema de mensagens pessoais do usuário para procurar uma pasta correspondente a um ID de vítima específico.
Evidências mostram que as contas no GitHub e voidtools foram registradas em novembro de 2022.
“Os hackers estão trabalhando em novos malwares que implementam técnicas não convencionais, como o Voidoor, e modificam seus malwares existentes”, disse a Positive Technologies, acrescentando que os atores usam um “grande número de ferramentas disponíveis publicamente para navegar nas redes” e aproveitam o scanner de vulnerabilidades da web Acunetix para “reconhecer as infraestruturas que ele visa”.
Se você precisa de ajuda para avaliar e/ou elevar o seu nível de segurança, entre em contato com a 4Security, teremos prazer em direcionar um especialista para lhe atender.