Space Pirates: исследуем нестандартные техники, новые векторы атак и инструменты группировки

Введение

В конце 2019 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили новую группировку, которую назвали Space Pirates. К тому моменту она была активна уже как минимум с 2017 года. Первое полноценное исследование, описывающее группу, выпущено в начале 2022-го. К сегодняшнему дню она усилила свою активность в отношении российских компаний: в течение года мы часто сталкивались со Space Pirates во время расследований кибератак. Тактики группировки практически не поменялись, однако она разработала новые инструменты и улучшила старые.

Основными целями злоумышленников по-прежнему являются шпионаж и кража конфиденциальной информации. Однако Space Pirates расширила географию атак и сферу своих интересов. В России за год атакованы по крайней мере 16 организаций, а в Сербии — одна. Среди новых жертв нам удалось выявить государственные и образовательные учреждения, охранные предприятия, предприятия авиационной, ракетно-космической и сельскохозяйственной промышленности, военно-промышленного и топливно-энергетического комплекса и компании, занимающиеся информационной безопасностью в России и Сербии.

1. Исследование сетевой инфраструктуры

На одном из управляющих серверов Space Pirates мы обнаружили Acunetix, что говорит о вероятном векторе атаки через эксплуатацию уязвимостей, который мы раньше не наблюдали.

Как мы заметили во время расследований, целью группы среди прочего являются почтовые архивы PST. К примеру, ошибка конфигурации управляющего сервера Space Pirates позволила нам изучить его содержимое и обнаружить два почтовых архива одного из министерств Сербии.

Учреждение было уведомлено по линии национального центра реагирования на инциденты ИБ (CERT). Помимо украденных данных на сервере обнаружены веб-шелл Godzilla и обфусцированный туннель Neo-reGeorg.

Сетевая инфраструктура Space Pirates по-прежнему задействует небольшое количество IP-адресов, на которые указывают DDNS-домены. Кроме того, злоумышленники часто переиспользуют старые адреса сайтов, создавая на них домены более высокого уровня (например, вида ruclient.dns04.com.ruclient.dns04.com).

Группировка также начала использовать ВПО ShadowPad. Этот факт наши специалисты заметили в рамках отслеживания изменений в инфраструктуре хакеров с помощью внутренней автоматизированной системы ScanDat: мы получили уведомление о появившейся цепочке SSL-сертификатов, свойственных указанному ВПО. О цепочке мы писали в одном из предыдущих отчетов. В дальнейшем при расследовании инцидента у клиента мы смогли обнаружить ShadowPad, используемый Space Pirates.

2. Анализ ВПО и инструментов

2.1. Deed RAT

Практически в каждом расследовании мы наблюдали применение группировкой бэкдора Deed RAT. Насколько мы можем судить, Space Pirates отходят от использования других бэкдоров. Схожесть кода Deed RAT с ShadowPad, которую также отметили наши коллеги, может говорить о том, что бэкдор является эволюцией ShadowPad, а ShadowPad, в свою очередь, считается эволюцией PlugX. Однако, в отличие от ShadowPad и PlugX, Deed RAT пока замечен только у Space Pirates.

Бэкдор продолжает разрабатываться. При расследовании инцидента на одном из зараженных устройств мы обнаружили также и 64-битную версию Deed RAT. Структура заголовка ее основного модуля и плагинов почти не отличается от 32-битной версии и выглядит следующим образом:

    

struct SectionHeader {
    DWORD VirtualSize;
    DWORD SizeOfRawData;
};

struct ModuleHeader {
    DWORD Signature; // 0xDEED4554
    DWORD ModuleId;
    DWORD EntryPoint;
    QWORD OriginalBase;
    DWORD AbsoluteOffset;
    SectionHeader Sections[3];
    DWORD RelocationsVirtualSize;
};
	    
	

В новых версиях несколько изменился алгоритм расшифрования строк. Если раньше указывалась длина каждой строки, то теперь этого нет, а строки завершаются нулевым байтом.

На зараженных Deed RAT компьютерах нам удалось обнаружить два новых плагина, полученных динамически с контрольного сервера. Первый называется Disk, имеет идентификатор 0×250 и используется для работы с дисками. Особенностью этого плагина является то, что он, по сути, является оберткой над Windows API. Disk поддерживает десять сетевых команд, описанных ниже.

Второй плагин называется Portmap и имеет идентификатор 0×290. Вероятно, злоумышленники взяли за основу утилиту ZXPortMap, которую часто используют азиатские группировки. Плагин применяется для перенаправления портов (port forwarding) и поддерживает три сетевые команды, каждая из которых является режимом работы.

Помимо этого, в коде основного модуля присутствует обращение к модулю с идентификатором 0×C0, который ни разу нам не встретился. Судя по всему, он раньше включался в список встроенных модулей и выполнял действия перед запуском бэкдора.

Заголовок конфигурации в новых версиях выглядит следующим образом:

    

struct DeedRATConfigHeader {
    DWORD Signature; // 0xC88CDB32
    BYTE UnusedFlag;
    WORD pInitialKey;
    BYTE PairReplacableFlag1;
    WORD pInstallationPath;
    WORD pSideLoadingDllName;
    WORD pShellcodeName;
    WORD pServiceName;
    WORD pDisplayedServiceName;
    WORD pServiceDescription;
    WORD pPersistentRegistryKey;
    WORD pPersistentRegistryValue;
    BYTE PairReplacableFlag2;
    WORD pTargetProcessForInject1;
    WORD pTargetProcessForInject2;
    WORD pTargetProcessForInject3;
    WORD pTargetProcessForInject4;
    WORD pBotID;
    BYTE UnusedFlag;
    WORD pMutexName;
    BYTE Unknown[58];
    BYTE DayOfWeek1;
    BYTE StartHour1;
    BYTE EndHour1;
    BYTE DayOfWeek2;
    BYTE StartHour2;
    BYTE EndHour2;
    BYTE DayOfWeek3;
    BYTE StartHour3;
    BYTE EndHour3;
    BYTE DayOfWeek4;
    BYTE StartHour4;
    BYTE EndHour4;
    BYTE DnsFlag;
    DWORD DnsIP1;
    DWORD DnsIP2;
    DWORD DnsIP3;
    DWORD DnsIP4;
    BYTE DohFlag;
    WORD pDohAddress1;
    WORD pDohAddress2;
    WORD pDohAddress3;
    WORD pDohAddress4;
    BYTE Unknown[34];
    WORD pC2Url1;
    WORD pC2Url2;
    WORD pC2Url3;
    WORD pC2Url4;
    BYTE UnusedFlag;
    WORD pProxyUrl1;
    WORD pProxyUrl2;
    WORD pProxyUrl3;
    WORD pProxyUrl4;
    BYTE Unknown[3];
};
	    
	

Остальная часть конфигурации состоит из зашифрованных строк, указатели на которые содержатся в заголовке.

Список DNS в конфигурации неизменен: 8.8.8.8 (Google Public DNS), 1.1.1.1 (Cloudflare DNS), 9.9.9.9 (Quad9 DNS), 222.222.67[.]208. Последним DNS, скорее всего, должен быть 208.67.222.222 (Cisco OpenDNS). Похоже, что адреса хранятся не с сетевым, а с обратным порядком байтов (little-endian). Вероятно, ошибка до сих пор не замечена из-за того, что все остальные адреса зеркальные, а этот адрес находится в конце и до него очередь доходит редко.

На 222.222.67[.]208 никогда не был замечен сервис DNS. Мы уже наблюдали подобные попытки разрешения имен через несуществующий DNS (см. рисунок ниже).

Такие обращения с большой вероятностью говорят о заражении Deed RAT.

В отличие от описанного нами ранее семпла, бэкдор содержит псевдопеременную окружения %AUTOPATH%, которая используется в поле конфигурации InstallationPath и в зависимости от прав бэкдора и разрядности системы преобразуется:

• в %AppData% — если у бэкдора нет прав администратора;
• %ProgramFiles(x86)% — если у бэкдора есть права администратора, а версия Windows 64-битная;
• %ProgramFiles% — если у бэкдора есть права администратора, а версия Windows 32-битная.

Подобное мы уже видели в PlugX, где использовалась переменная %AUTO%.

Поскольку группировка предположительно имеет китайские корни, то интересной особенностью является то, что в конфигурации постоянно фигурирует цифра 4: четыре дня, в которые бэкдору запрещено работать, четыре ссылки на C2-серверы, четыре ссылки на прокси-серверы, четыре процесса для инжекта, четыре DNS-сервера, четыре адреса DoH. Дело в том, что в китайском языке иероглиф 四, обозначающий цифру 4, произносится так же, как и иероглиф 死, обозначающий смерть, только с другой интонацией, — потому число считается несчастливым.

2.2. Voidoor

В ходе одного из расследований мы получили неизвестный ранее образец ВПО, отличающийся своей функциональностью. По выстроенному таймлайну появления образца на зараженном устройстве мы предположили, что вредонос был доставлен через уже установленный на компьютере Deed RAT и принадлежит группировке Space Pirates. В дальнейшем мы в этом убедились. ВПО мы назвали Voidoor — по имени контрольного сервера и классу «бэкдор».

Voidoor скомпилирован в конце 2022 года, представляет собой 32-битный файл формата EXE и содержит PDB-путь C:\_\Project1\Release\Project1.pdb.

Большинство строк внутри зашифрованы XOR на 0×22.

Жизненный цикл этого ВПО можно поделить на следующие части:

1. Подготовка.
2. Работа с репозиториями на GitHub.
3. Закрепление в системе.
4. Взаимодействие через форум voidtools.
5. Взаимодействие через GitHub.

2.2.1. Подготовительная стадия

Вначале семпл пытается открыть порт 27015. Если это не удается, процесс досрочно завершается. Таким образом обеспечивается одновременная работа только одного семпла. Следом расшифровывается основная часть строк. Их можно поделить на несколько групп:

1. Взаимодействие с GitHub: токен доступа (access token), HTTP-заголовки, имя пользователя, его репозитории, имена файлов, которые требуется скачать и запустить.
2. Взаимодействие с форумом voidtools: URI с параметрами.
3. Общение и с GitHub, и с voidtools: заголовок User-Agent — Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36. Примечательно, что в сетевом взаимодействии HTTP-заголовок написан в нижнем регистре, в отличие от других полей.
4. Деятельность на локальном компьютере: название задачи для планировщика, пути к файлам, созданным в ходе работы вредоноса.

Эти строки расшифровываются в одной функции, и их можно отнести к конфигурации файла. Кроме того, по ходу работы программы расшифровываются локально используемые строки.

На этом этапе также ведется работа с идентификатором жертвы, который хранится в файле %TEMP%/ids. Если этого файла нет, он создается, а в качестве идентификатора используется конкатенация трех случайных чисел.

2.2.2. Работа с репозиториями на GitHub

Благодаря тому, что в семпл вшит персональный токен доступа, мы можем узнать немного о владельце и его репозиториях:

    

Token issuer: hasdhuahd
Token issuer url: https://api.github.com/users/hasdhuahd
User created at: 2022-11-23T01:08:24Z
User updated at: 2023-03-20T07:47:54Z

Project:	hasdhuahd/919A1C3FD38A41D89ED53F1967AF443D
Created at:	2022-11-23T03:44:21Z
Visibility:	private

Project:	hasdhuahd/myprivaterepo-1
Created at:	2022-11-23T03:44:32Z
Visibility:	private

Project:	hasdhuahd/13F20E32BDBA46229631517AB130A7E7
Created at:	2022-11-24T04:39:35Z
Visibility:	public

Project:	hasdhuahd/al-khaser
Created at:	2022-12-07T08:16:58Z
Visibility:	public
	    
	

• hasdhuahd/919A... — выполняет функции командного центра.
• hasdhuahd/myprivaterepo-1 — содержит инструменты, используемые ВПО.
• hasdhuahd/13F2... — содержит единственный файл с UUID. Назначение неизвестно.
• hasdhuahd/al-khaser — форк публичной утилиты для бенчмаркинга антивирусов.

Семпл собирает пути к репозиториям, с которыми будет работать.

За сетевое взаимодействие отвечает libcurl.

Первая задача ВПО — оповестить создателей о новой жертве. Для этого он формирует ссылку https://api.github.com/repos/hasdhuahd/919A.../git/trees/main?recursive=1 и скачивает файл 1A11878899834F1591DFADC277B2132E (при отсутствии сетевой доступности программа войдет в вечный цикл до тех пор, пока скачивание не произойдет). В файле ведется список жертв в виде нескольких десятков строк, состоящих из имени компьютера и сгенерированного идентификатора.

Парсинг JSON-файла, возвращаемого GitHub, происходит с помощью нарезки подстрок.

Если в указанном списке нет семпла, то вредонос отправляет HTTP-запрос PUT на api.github.com (на GitHub можно добавлять и изменять файлы посредством PUT-запросов: docs.github.com/en/rest/repos/contents#create-or-update-file-contents). Примечательно то, что на этом этапе расшифровывается одна из строк кода ВПО, в которую позже будут внесены изменения:

    

{"message": "commit message", "content": "dGhpcyBpcyBkb25l", "sha": "164adc449d458c4b0819bb348db9b07ca2fc367d", "branch": "main"}
	    
	

Из dGhpcyBpcyBkb25l получается this is done. Эта строка заменяется на добавляемый идентификатор, и полученное значение отправляется в файл 164adc449d458c4b0819bb348db9b07ca2fc367d. Затем семпл обращается к репозиторию myprivaterepo-1, откуда в папку %TEMP%\myfile.bin скачивается файл с шеллкодом, предварительно зашифрованный XOR на 0×22.

Стоит упомянуть, что разработчик реализовал механизм контроля целостности: в репозитории к именам файлов в конце прибавлена контрольная сумма SHA-256, которая вычленяется из скачанных файлов и проверяется.

Судя по «битым» файлам шеллкодов в истории репозитория, эта отчаянная мера реализована в качестве дополнительной отладки того, что файл валиден. Интересно, что бинарные файлы в определенный момент стали дополнительно кодироваться с помощью Base64, чтобы избежать дополнительных проблем с интерпретацией байтов при хранении в Git.

Далее семпл завершает все процессы с названием ConsoleApplication1.exe, после чего скачивает одноименный файл из репозитория с инструментами и сохраняет в папку с шеллкодом.

2.2.3. Закрепление в системе

ВПО формирует задачу для запуска в планировщике:

schtasks /create /tn MyApp /tr <Путь к файлу> /sc minute /mo 1 /f && schtasks /create /tn MyApp /tr <Путь к файлу> /sc minute /mo 1 /ru system /f

Это необходимо, чтобы запускаться каждую минуту, желательно с системными правами. Благодаря проверке порта 27015 такая вопиющая частота вызова не создаст конфликта в логике работы. Примечателен способ закрепления: используется ранее скачанный ConsoleApplication1.exe, который является инструментом для запуска шеллкода. Затем процесс формирует задачу в файле orderFile.txt, содержание которой представляет в формате, похожем на результат работы certutil -encode (см. рисунок ниже).

В строки BEGIN CERTIFICATE и END CERTIFICATE помещается команда, закодированная в Base64. После запускается файл ConsoleApplication1, который расшифровывает (с помощью XOR 0×22) и запускает шеллкод. Его логика:

    

cmd /c certutil -decode C:\Users\Public\Downloads\orderFile.txt C:\Users\Public\Downloads\silentBase.bat && echo 1 > C:Users\Public\Downloads\checkString || echo 1 > C:\Users\Public\Downloads\checkString
cmd /c type C:\Users\Public\Downloads\silentBase.bat>C:\Users\Public\Downloads\Basesilent.txt && copy C:\Users\Public\Downloads\Basesilent.txt C:\Users\Public\Downloads\silentBase.bat && del C:\Users\Public\Downloads\Basesilent.txt && echo
1>C:\Users\Public\Downloads\checkString || echo 1>C:\Users\Public\Downloads\checkString
cmd /c C:\Users\Public\Downloads\silentBase.bat &&echo 1>C:\Users\Public\Downloads\interResultFile.txt && echo 1>C:\Users\Public\Downloads\checkString || echo 1>C:\Users\Public\Downloads\checkString
Удаление через Windows API файлов  C:\Users\Public\Downloads\houston, C:\Users\Public\Downloads\interResultFile.txt, C:\Users\Public\Downloads\silentBase.bat
	    
	

Ее можно упростить:

    

# Декодирование файла orderFile.txt в silentBase.bat
cd C:\Users\Public\Downloads
certutil -decode orderFile.txt silentBase.bat

# Использование type и copy для усложнения автоматического отслеживания связи процессов с артефактами
type silentBase.bat>Basesilent.txt
copy Basesilent.txt silentBase.bat
del Basesilent.txt

# Непосредственно выполнение скрипта, в этом случае — логики закрепления основного файла
silentBase.bat

# Удаление временных файлов
	    
	

2.2.4. Взаимодействие с форумом voidtools

Для дальнейшей работы создается невидимое окно с двумя потоками.

Второй поток выполняет простую задачу: находится в режиме ожидания десять часов, после чего активирует флаг завершения работы для первого.

Этот флаг будет проверяться в глобальном цикле работы первого потока.

Прохождение проверок, связанных с форумной частью, необходимо для перехода к следующей стадии.

Вначале поток расшифровывает строки https://www.voidtools.com, /forum/ucp.php и ?i=ucp_pm&mode=options. В контексте этого сайта UCP — User Control Panel. Примечательно, что семпл добавляет в заголовок запроса куки asdasdasd; практического смысла в этом действии мы не нашли.

Процесс сложит эти строки и отправит на них запрос. При наличии соединения его перенаправит на страницу авторизации.

Затем семпл отправит POST-запрос на авторизацию на форуме, используя вшитые логин и пароль, и в случае успеха сохранит значения куки phpbb3_h6rei_u, phpbb3_h6rei_k и phpbb3_h6rei_sid — они необходимы в рамках сессии.

На форуме есть механизм личных сообщений с возможностью создавать правила.

Семпл зарегистрирует новое правило, даже если оно уже существует:

check_option=1&rule_option=1&rule_string=^идентификатор жертвы^&rule_user_id=0&rule_group_id=0&cond_option=text&action_option=1|0&add_rule=Add rule&foldername=&rename_folder_id=8&new_folder_name=&remove_folder_id=8&remove_action=1&move_to=0&full_move_to=0&full_action=3&creation_time=время на устройстве&form_token=спаршенный токен со страницы

Затем вредонос снова скачает страницу со списком правил. Однако теперь его интересует наличие папки, в названии которой будет фигурировать идентификатор жертвы.

Эту папку должен создать управляющий C2-сервер, в противном случае семпл будет продолжать на протяжении десяти часов добавлять новое правило. При этом не допускается создание нескольких папок — семпл возьмет на сравнение первое вхождение. Таким образом, подозреваем, глобальная одновременная работа C2-сервера через GitHub реализована только для одного семпла.

Форум построен на движке phpBB и стал для нас кладезем полезной информации.

Примечательно, что для того, чтобы иметь возможность отправлять письма на этом форуме, необходимо проявить активность.

Настоящей находкой оказалась функция под названием «Remember Me» login keys. Она позволяет управлять активными сессиями, токены которых хранятся на клиентской части. Это можно использовать, например, в случае кражи устройства, чтобы удалить ключ из списка. Доступ к профилю потеряется, и потребуется вновь ввести имя пользователя и пароль. Эта функциональность разработана очень давно (объяснение сценария использования мы нашли в сообщении на форуме phpbb от 2004 года) и оценена нами как опасная.

Мы обнаружили более 3,5 тысяч событий входа с 73 уникальных IP-адресов и установили факт принадлежности voidoor APT-группировке, найдя серию входов с адресов Space Pirates в первые дни после регистрации учетной записи. Соотнеся их с действиями в репозиториях GitHub, мы определили, что эти входы происходили на стадии разработки и тестирования вредоносного ПО.

Жертвами злоумышленников стали университеты, медицинские учреждения, предприятия энергетической отрасли, охранные компании, а также государственные структуры России и Сербии.

2.2.5. С2-сервер через GitHub

Семпл переходит в режим общения с помощью команд на GitHub. Для этого в репозитории 919A… выполняется поиск файла, название которого состоит из двух частей: строки такого же типа, как возвращаемое командой значение, и идентификатора.

Общение проходит по следующему алгоритму:

1. Вредонос получает команду, переданную в указанном файле. Она состоит из трех строк: идентификатора команды, типа возвращаемого значения и непосредственно тела команды. Известно два типа возвращаемых значений:
• D737C9A763E941BDAA69C6EE83553014 — скачать файл с компьютера жертвы и загрузить его в GitHub;
• 139445A83B5B4ED79FAF4439FC7FFE69 — выполнить команду.
2. Семпл выполняет указанную задачу и посредством PUT-запроса загружает в репозиторий объект с именем вида «тип команды + идентификатор жертвы».
3. Процесс возвращается к началу: семпл переходит в режим ожидания команды с идентификатором, отличным от предыдущего.

Пример такого общения:

    

datetime: 2022-11-24 12:40:59+08:00
message: commit message
1A11878899834F1591DFADC277B2132E 2 insertions, 0 deletions, 2 lines (файл, редактируемый новой зараженной жертвой)
>>>
\n
DESKTOP-94KT1VQ+200882088117246
<<<

datetime: 2022-11-24 12:42:05+08:00
message: commit message
D7B3FDC2EABE453BB39FA73557FC77F3200882088117246 4 insertions, 0 deletions, 4 lines 
>>> 
uuid: 8b0e4a01-b242-45a4-a86d-25ab54a3308a
md5: 139445A83B5B4ED79FAF4439FC7FFE69
cmd: hostname
<<<

datetime: 2022-11-24 12:46:30+08:00
message: commit message
A2EE1A74A32344FEA87A42D395013499200882088117246 5 insertions, 0 deletions, 5 lines
>>> GB18030 (simplified_chinese):

C:\mylittletrojan\shellcodeloader\thumb_drive-main\thumb_drive_copy_real_time\7z2200-src\CPP\7zip\UI\Client7z>hostname
DESKTOP-94KT1VQ

<<<
	    
	

К сожалению, конкретно в нашем файле эта функциональность недоступна: в идентификатор команды вшит чужой идентификатор с неизвестным ранее типом возвращаемого значения: D7B3FDC2EABE453BB39FA73557FC77F3171542571331346. Эта строка мешает корректному выполнению активности, из-за чего семпл находится в вечном цикле на протяжении десяти часов (второй поток выставляет флаг завершения работы, который проверяется в цикле). Так как строка зашифрована XOR внутри файла целиком, можно считать, что функция отключена, но не удалена.

2.2.6. Немного о разработчике утилиты

В рамках анализа репозиториев GitHub можно легко выделить стадии тестирования и непосредственной эксплуатации вредоносного ПО. Мы знаем, что имя устройства хакера — desktop-94kt1vq. В интернете находим блог на Chinese Software Developer Network.

Пользователь активно пишет посты (177 оригинальных публикаций), и, что важно для нас, его имя в системе X пересекается с именем, используемым в ходе работы C2-сервера.

Среди прочих интересных постов у него есть публикации о хранении файлов на GitHub, работе с IDA Pro и обратной разработке в принципе, о ядерном программировании.

Мы также обратили внимание на описание профиля пользователя.

Упоминается еще один профиль, заброшенный в марте 2021 года.

Блог посвящен в основном пентесту, анализу уязвимостей и описанию внутренних механизмов Windows.

Сопоставив факты (одинаковое имя компьютера и пользователя, релевантные навыки), мы можем с определенной долей уверенности предположить, что этот человек является одним из разработчиков рассматриваемого вредоноса — если не единственным.

2.3. Остальные инструменты

Помимо описанных бэкдоров злоумышленники применяли следующие публично доступные утилиты для продвижения по сети:

• Stowaway,
• Mimikatz,
• fscan,
• procdump,
• PortQry версии 2.0 Gold,
• NetSess,
• NBTscan,
• PsExec,
• KrbRelayUp,
• SharpRoast,
• nmap,
• Impacket,
• CHAOS,
• reGeorg,
• Neo-reGeorg,
• Godzilla (веб-шелл),
• xсmdsvc.

Группировка часто использует инструменты, написанные на языке Go и обфусцированные при помощи Garble. Кроме того, мы обнаружили самописную утилиту, которой нет в публичном доступе и которую, по всей видимости, разработала Space Pirates. Программа мониторит подключенные носители и при появлении нового устройства собирает оттуда файлы, создавая запись в базе данных. С помощью библиотеки 7z.dll файлы запаковываются в архив с именем в формате чч.мм.сс, где чч — текущий час, мм — минуты и сс — секунды. Все архивы сохраняются в папке C:\Users\Public\Downloads\dest.

Утилита использует два файла базы данных: 1.db — вместо мьютексов и 2.db — для журналирования подключенных устройств. Там же хранится информация о последних изменениях на съемном диске, чтобы понимать, нужно копировать с него файлы или нет. Сама утилита маскируется под архиватор 7-Zip.

Заключение

Группировка Space Pirates не прекращает наращивать активность в отношении российских компаний: количество атак выросло в несколько раз. Злоумышленники разрабатывают новое ВПО, реализующее нестандартные техники (как, например, Voidoor), и модифицируют уже существующее. Кроме того, мы видим резкое сокращение использования других бэкдоров, характерных для группировки, и увеличение числа атак с помощью Deed RAT.

Space Pirates применяет множество публичных инструментов для продвижения по сети. Кроме того, киберпреступники используют Acunetix для разведки инфраструктуры и последующей атаки. При этом тактики группировки практически не поменялись. Основными целями злоумышленников по-прежнему являются шпионаж и кража конфиденциальной информации. Однако группировка расширила географию атак и сферу своих интересов.

Специалисты PT ESC продолжают мониторинг и реагирование на угрозы, в том числе связанные со Space Pirates.

Авторы: Денис Кувшинов, Станислав Раковский, Станислав Пыжов

Приложения

Вердикты в продуктах Positive Technologies

Сетевые правила

10007678 SUSPICIOUS [PTsecurity] TLS Server Certificate (Some-Company Some-State)

10007870 SUSPICIOUS [PTsecurity] Multiple attempting to connect to an external non-http/smtp server

10007917 SUSPICIOUS [PTsecurity] Multiple POST request

10008972 SUSPICIOUS [PTsecurity] GET request in TCP

10008973 SUSPICIOUS [PTsecurity] POST request in TCP

YARA правила

apt_mem_CN_SpacePirates__Backdoor__DeedRAT____EncryptionArtifacts__R1

apt_win86_CN_SpacePirates__Backdoor__Github__And__Voidtools__Backdoor

apt_win86_CN_SpacePirates__Shellcode__From__Github

apt_win_CN_SpacePirates__Trojan__DllLoader

crime_linux_ZZ_Chaos__Backdoor

tool_multi_ZZ_NBTscan__HackTool

tool_multi_ZZ_Stowaway__HackTool

tool_multi_ZZ_fscan__HackTool

tool_win_CN_ShadowPad__Backdoor__NewDecrypt

tool_win_ZZ_GhostPack__HackTool__SharpRoast

tool_win_ZZ_GodzillaShell__Backdoor

tool_win_ZZ_GolangObfuscation__RiskTool__Garble

tool_win_ZZ_KrbRelay__HackTool__Strings

tool_win_ZZ_Mimikatz__HackTool__Generic

tool_win_ZZ_ProcDump__Hacktool

tool_win_ZZ_PsExec__Hacktool

tool_win_ZZ_reGeorg__Backdoor__WebShell

Поведенческие правила

Trojan.Win32.Generic.a

Trojan.Win32.Evasion.a

Trojan.Script.Impacket.a

Backdoor.Elf.Chaos.a

Trojan.MachineLearning.Generic.a

Create.Process.ProcDump.CredentialDumping

Create.Process.PortQry.NetworkConnectionsDiscovery

Create.Process.NBTscan.NetworkSniffing

MITRE

IOCs
Файловые индикаторы

Deed RAT

Voidoor

PlugX

USB stealer

Stowaway

CHAOS

Сетевые индикаторы