Space Pirates all'attacco: Il malware LuckyStrike Agent colpisce le organizzazioni IT russe!

News
Visite: 107

Il gruppo di cybercriminali noto come Space Pirates è stato recentemente collegato a una campagna malevola che prende di mira le organizzazioni IT russe utilizzando un malware inedito chiamato LuckyStrike Agent. L'attività è stata scoperta nel novembre 2024 da Solar, la divisione di cybersecurity della compagnia di telecomunicazioni statale russa Rostelecom, che ha denominato l'attività come Erudite Mogwai.

Strumenti utilizzati negli attacchi

Gli attacchi sono caratterizzati anche dall'uso di altri strumenti come Deed RAT, noto anche come ShadowPad Light, e una versione personalizzata di un'utility proxy chiamata Stowaway. Quest'ultima è stata precedentemente utilizzata da altri gruppi di hacker legati alla Cina.

Chi è Erudite Mogwai?

Erudite Mogwai è uno dei gruppi APT attivi specializzati nel furto di informazioni riservate e spionaggio dal 2017, prendendo di mira agenzie governative, dipartimenti IT di varie organizzazioni e imprese nei settori ad alta tecnologia come l'aerospaziale e l'energia elettrica. Il gruppo è stato documentato per la prima volta da Positive Technologies nel 2022 per il suo uso esclusivo del malware Deed RAT. Si ritiene che condivida tattiche con un altro gruppo di hacker chiamato Webworm, noto per prendere di mira organizzazioni in Russia, Georgia e Mongolia.

Analisi di un attacco

In uno degli attacchi contro un cliente del settore governativo, Solar ha scoperto che l'attaccante ha utilizzato vari strumenti per facilitare la ricognizione, distribuendo anche LuckyStrike Agent, un backdoor multi-funzionale basato su .NET che utilizza Microsoft OneDrive per il comando e il controllo (C2). Gli aggressori sono riusciti ad accedere all'infrastruttura compromettendo un servizio web pubblico già a marzo 2023, e successivamente hanno iniziato a cercare "frutti a portata di mano" nell'infrastruttura. Nel corso di 19 mesi, si sono diffusi lentamente attraverso i sistemi del cliente fino a raggiungere i segmenti di rete collegati al monitoraggio nel novembre 2024.

Modifiche alla utility Stowaway

Degno di nota è anche l'uso di una versione modificata di Stowaway, che conserva solo la sua funzionalità proxy, utilizza LZ4 come algoritmo di compressione, incorpora XXTEA come algoritmo di crittografia e aggiunge il supporto per il protocollo di trasporto QUIC. Erudite Mogwai ha iniziato modificando questa utility eliminando le funzionalità non necessarie, continuando con piccole modifiche come rinominare funzioni e cambiare le dimensioni delle strutture, probabilmente per confondere le firme di rilevamento esistenti. Al momento, la versione di Stowaway utilizzata da questo gruppo può essere considerata un vero e proprio fork.

Pin It
, , , , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.