L’acteur menaçant connu sous le nom de Pirates de l’espace a été lié à des attaques contre au moins 16 organisations en Russie et en Serbie au cours de l’année écoulée en employant de nouvelles tactiques et en ajoutant de nouvelles cyber-armes à son arsenal.
« Les principaux objectifs des cybercriminels sont toujours l’espionnage et le vol d’informations confidentielles, mais le groupe a élargi ses intérêts et la géographie de ses attaques », a déclaré Positive Technologies dans un rapport approfondi publié la semaine dernière.
Les cibles comprennent les agences gouvernementales, les établissements d’enseignement, les sociétés de sécurité privées, les constructeurs aérospatiaux, les producteurs agricoles, les entreprises de défense, d’énergie et de santé en Russie et en Serbie.
Space Pirates a été dénoncé pour la première fois par la société russe de cybersécurité en mai 2022, soulignant ses attaques contre le secteur aérospatial du pays. Le groupe, qui serait actif depuis au moins fin 2019, a des liens avec un autre adversaire suivi par Symantec sous le nom de Webworm.
L’analyse de Positive Technologies de l’infrastructure d’attaque a révélé l’intérêt de l’acteur de la menace pour la collecte d’archives d’e-mails PST ainsi que l’utilisation de Deed RAT, un artefact malveillant exclusivement attribué au collectif adverse.
Deed RAT serait le successeur de ShadowPad, qui est en soi une évolution de PlugX, tous deux largement utilisés par les équipes de cyberespionnage chinoises. En cours de développement actif, le logiciel malveillant est disponible en versions 32 et 64 bits et est équipé pour récupérer dynamiquement des plug-ins supplémentaires à partir d’un serveur distant.
Cela inclut un plug-in Disk pour énumérer les fichiers et les dossiers, exécuter des commandes, écrire des fichiers arbitraires sur le disque et se connecter à des lecteurs réseau et un module Portmap utilisé pour la redirection de port.
Deed RAT fonctionne également comme un conduit pour servir les charges utiles de la prochaine étape telles que Voidoor, un logiciel malveillant auparavant non documenté qui est conçu pour contacter un forum légitime appelé Voidtools et un référentiel GitHub associé à un utilisateur nommé « hasdhuahd » pour la commande et le contrôle ( C2).
Voidtools est le développeur d’un utilitaire de recherche de bureau gratuit pour Microsoft Windows appelé Everything, avec son forum alimenté à l’aide d’un logiciel de forum open source appelé MyBB. L’objectif principal de Voidoor est de se connecter au forum à l’aide d’informations d’identification codées en dur et d’accéder au système de messagerie personnelle de l’utilisateur pour rechercher un dossier correspondant à un identifiant de victime particulier.
Les preuves montrent que les comptes sur GitHub et voidtools ont été enregistrés en novembre 2022.
« Les pirates travaillent sur de nouveaux logiciels malveillants qui implémentent des techniques non conventionnelles, telles que le voidoor, et modifient leurs logiciels malveillants existants », a déclaré Positive Technologies, ajoutant que les acteurs utilisent un « grand nombre d’outils accessibles au public pour naviguer sur les réseaux » et tirent parti de la vulnérabilité Web d’Acunetix. scanner pour « reconnaître les infrastructures qu’il cible ».
