Содержание
Цели:
- Шпионаж
- Кража конфиденциальной информации
Общее описание
Впервые группировка Space Pirates была замечена специалистами PT Expert Security Center в конце 2019 года в ходе работ по обнаружению киберугроз. Группа активна как минимум с 2017 года. Основными целями злоумышленников являются шпионаж и кража конфиденциальной информации. Группировка активно атакует различные отрасли в России. Помимо этого, были обнаружены жертвы в Грузии, Узбекистане, Монголии, Китае и Сербии. В ее арсенал входят публично доступные утилиты и хорошо известные вредоносы, а также собственное ВПО.
Группировка предположительно имеет азиатские корни: она часто использует инструменты, распространенные среди злоумышленников азиатского происхождения. Кроме того, деятельность Space Pirates имеет множество пересечений с активностью других APT-группировок азиатского региона.
Инструменты
- Acunetix
- BH_A006
- Behinder
- CHAOS
- Deed RAT
- dog-tunnel
- Downloader.Climax.A
- Downloader.Climax.B
- fscan
- Godzilla webshell
- Impacket
- KrbRelayUp
- Mimikatz
- MyKLoadClient
- NBTscan
- Neo-reGeorg webshell
- nmap
- PcShare
- PlugX
- Poison Ivy
- PortQry version 2.0 GOLD
- ProcDump
- PsExec
- reGeorg webshell
- ReVBShell
- Royal Road
- RtlShare
- ShadowPad
- SharpHound
- SharpRoast
- Stowaway
- Voidoor
- Zupdax
- xCmd
Атакуемые отрасли
- Авиационно-космическая промышленность
- Военно-промышленный комплекс
- Государственные учреждения
- Здравоохранение
- Информационные технологии
- Образование
- Сельскохозяйственная промышленность
- Топливно-энергетический комплекс
- Финансовый сектор
- Электроэнергетическая отрасль
Атакуемые страны
- Грузия
- Китай
- Монголия
- Россия
- Сербия
- Узбекистан
Альтернативные названия группы
- Отсутствуют
Отчеты Positive Technologies и других исследователей
- Space Pirates: исследуем инструменты и связи новой хакерской группировки (ptsecurity.com)
- Space Pirates: исследуем нестандартные техники, новые векторы атак и инструменты группировки (ptsecurity.com)
- https://xakep.ru/2022/07/28/chinese-malware/
Тактики из MITRE ATT&CK, использованные группой
ID | Название | Описание |
---|---|---|
Reconnaissance | ||
T1595.002 | Active Scanning: Vulnerability Scanning | Группа Space Pirates использует Acunetix для поиска уязвимостей в инфраструктуре жертв |
Initial Access | ||
T1566.001 | Phishing: Spearphishing Attachment | Группа Space Pirates использует фишинговые рассылки с вредоносным вложением |
T1566.002 | Phishing: Spearphishing Link | Группа Space Pirates использует фишинговые письма со ссылками на ВПО |
Execution | ||
T1059.003 | Command and Scripting Interpreter: Windows Command Shell | ВПО группы Space Pirates имеет функциональность удаленной командной строки |
T1059.005 | Command and Scripting Interpreter: Visual Basic | Группа Space Pirates использует VB-скрипты, включая ReVBShell |
T1106 | Native API | ВПО группы Space Pirates использует функции WinAPI для запуска новых процессов и внедрения шелл-кода |
T1053.002 | Scheduled Task/Job: At (Windows) | Группа Space Pirates использует atexec.py для запуска команд на удаленном узле |
T1053.005 | Scheduled Task/Job: Scheduled Task | Группа Space Pirates использует системные задачи |
T1569.002 | System Services: Service Execution | Группа Space Pirates создает вредоносные сервисы |
Persistence | ||
T1053.005 | Scheduled Task/Job: Scheduled Task | Для закрепления на узле группа Space Pirates создает системные задачи |
T1543.003 | Create or Modify System Process: Windows Service | Для закрепления на узле группа Space Pirates создает вредоносные сервисы |
T1546.015 | Event Triggered Execution: Component Object Model Hijacking | ВПО RtlShare закрепляется в системе через подмену COM-объекта MruPidlList |
T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Для закрепления на узле группа Space Pirates может размещать ярлык в папке автозапуска и использовать ключи реестра Run и RunOnce |
Privilege Escalation | ||
T1548.002 | Abuse Elevation Control Mechanism: Bypass User Account Control | ВПО группы Space Pirates содержит различные техники для обхода UAC |
T1068 | Exploitation for Privilege Escalation | Группа Space Pirates может использовать уязвимость CVE-2017-0213 для повышения привилегий |
Defense Evasion | ||
T1027.001 | Obfuscated Files or Information: Binary Padding | Дроппер RtlShare добавляет случайные байты в извлеченную нагрузку |
T1027.002 | Obfuscated Files or Information: Software Packing | Одна из стадий ВПО BH_A006 обфусцирована с помощью неизвестного протектора |
T1036.004 | Masquerading: Masquerade Task or Service | При создании сервисов группа Space Pirates использует легитимно выглядящие имена |
T1036.005 | Masquerading: Match Legitimate Name or Location | Группа Space Pirates маскирует свое ВПО под легитимное ПО |
T1055 | Process Injection | ВПО группы Space Pirates может внедрять шелл-код в другие процессы |
T1055.001 | Process Injection: Dynamic-link Library Injection | ВПО группы Space Pirates может внедрять DLL с полезной нагрузкой в другие процессы |
T1078.002 | Valid Accounts: Domain Accounts | Группа Space Pirates использует скомпрометированные привилегированные учетные данные |
T1112 | Modify Registry | Deed RAT хранит в реестре все свои данные, включая конфигурацию и плагины |
T1140 | Deobfuscate/Decode Files or Information | ВПО группы Space Pirates шифрует конфигурационные данные и полезную нагрузку с помощью различных алгоритмов |
T1197 | BITS Jobs | Группа Space Pirates использует BITS Job для загрузки ВПО |
T1218.011 | Signed Binary Proxy Execution: Rundll32 | Группа Space Pirates может использовать rundll32.exe для запуска DLL-библиотек |
T1553.002 | Subvert Trust Controls: Code Signing | Группа Space Pirates использует похищенные сертификаты для подписи некоторых экземпляров Zupdax |
T1564.001 | Hide Artifacts: Hidden Files and Directories | Группа Space Pirates может хранить свое ВПО в скрытых папках по пути C:\ProgramData |
T1574.002 | Hijack Execution Flow: DLL Side-Loading | Группа Space Pirates использует легитимные приложения, уязвимые к DLL Side-Loading |
T1620 | Reflective Code Loading | ВПО группы Space Pirates использует рефлективную загрузку для запуска полезной нагрузки в памяти |
Credential Access | ||
T1555.003 | Credentials from Password Stores: Credentials from Web Browsers | Группа Space Pirates использует утилиту Chromepass для извлечения паролей из хранилища браузера Chrome |
T1003.001 | OS Credential Dumping: LSASS Memory | Группа Space Pirates получает дампы процесса lsass для дальнейшего извлечения учетных записей |
T1040 | Network Sniffing | Deed RAT собирает информацию об используемых прокси с помощью прослушивания трафика |
Discovery | ||
T1087.001 | Account Discovery: Local Account | Группа Space Pirates собирает информацию о пользователях посредством команды query user |
T1087.002 | Account Discovery: Domain Account | Группа Space Pirates собирает информацию о пользователях в домене посредством легитимной утилиты CSVDE |
T1082 | System Information Discovery | ВПО группы Space Pirates собирает информацию о системе, включающую версию ОС, информацию о процессоре, памяти и дисках |
T1614.001 | System Location Discovery: System Language Discovery | Deed RAT в процессе сбора информации о системе получает языковой идентификатор LCID |
T1016 | System Network Configuration Discovery | Группа Space Pirates собирает информацию о сетевых параметрах зараженного устройства |
T1069.002 | Permission Groups Discovery: Domain Groups | Группа Space Pirates собирает информацию о группах в домене посредством легитимной утилиты CSVDE |
T1083 | File and Directory Discovery | Группа Space Pirates собирает информацию о наличии файлов в системе по расширениям .doc и .pdf |
T1033 | System Owner/User Discovery | Группа Space Pirates собирает информацию о пользователях скомпрометированных компьютеров |
T1057 | Process Discovery | Группа Space Pirates использует утилиту tasklist.exe для получения информации о процессах |
Lateral Movement | ||
T1021.002 | Remote Services: SMB/Windows Admin Shares | Группа Space Pirates использует утилиты atexec.py и psexec.rb для продвижения по сети |
Collection | ||
T1119 | Automated Collection | Группа Space Pirates производит поиск и копирование файлов с масками *.doc и *.pdf |
T1560.001 | Archive Collected Data: Archive via Utility | Группа Space Pirates собирает украденные документы в защищенные паролем архивы с помощью 7-Zip |
T1056.001 | Input Capture: Keylogging | Группа Space Pirates может записывать пользовательский ввод с помощью своего ВПО |
Command and Control | ||
T1071.001 | Application Layer Protocol: Web Protocols | Deed RAT может инкапсулировать свой протокол в HTTP и HTTPS |
T1071.004 | Application Layer Protocol: DNS | Deed RAT может инкапсулировать свой протокол в DNS |
T1132.001 | Data Encoding: Standard Encoding | ВПО группы Space Pirates может сжимать сетевые сообщения с помощью алгоритмов LZNT1 и LZW |
T1573.001 | Encrypted Channel: Symmetric Cryptography | ВПО группы Space Pirates может шифровать сетевые сообщения с помощью симметричных алгоритмов |
T1008 | Fallback Channels | ВПО группы Space Pirates поддерживает работу с несколькими C2 и может обновлять список C2 через веб-страницы |
T1095 | Non-Application Layer Protocol | ВПО группы Space Pirates использует собственные протоколы для коммуникации с управляющим сервером |
T1102.002 | Web Service: Bidirectional Communication | ВПО группы Space Pirates использует связку форума Voidtools и GitHub в качестве управляющего сервера |
T1105 | Ingress Tool Transfer | Группа Space Pirates загружает дополнительные утилиты с управляющего сервера посредством утилиты certutil |
T1571 | Non-Standard Port | Группировка Space Pirates для связи с управляющим сервером использует нестандартные порты, такие как 8081, 5351, 63514 и другие |
T1572 | Protocol Tunneling | Группа Space Pirates для туннелирования трафика использует утилиту dog-tunnel |
T1090.001 | Proxy: Internal Proxy | Deed RAT может обнаруживать и использовать прокси для соединения с C2 |