首页 > 安全 > 正文

与中国关联的太空海盗契约针对俄罗斯航空航天行业

最后更新 :2022.05.19

一个被称为太空海盗的新的新型网络增长群体正在瞄准俄罗斯航空航天行业的企业。

一个以前未知的中国网络增长群体,被追踪为太空海盗,针对俄罗斯航空航天行业的企业,其矛 - 捕捉攻击。

该小组至少从2017年起就一直活跃,研究人员认为,它与其他中国链接的APT小组有关,包括APT41(Winnti),野马熊猫和APT27。

太空海盗APT GOOKES GOUSE被发现针对涉及航空航天,IT服务以及位于俄罗斯,佐治亚州和蒙古的电力行业的政府机构和企业。

太空海盗的名称来自PDB路径中使用的弦乐P1RAT,以及重点的焦点。对航空航天行业的一些攻击。

我们假设太空海盗具有亚洲根源:这是通过在资源中积极使用中文来指示的,SFX ArchIVES和PDB Paths。此外,该集团的武器库包括皇家公路RTF(OR 8.T)建筑商,在亚洲黑客中很常见,PCShare后门几乎与已知的活动相关联,与已知的活动相关。亚洲地区的APT组。读取专家发表的分析。

攻击最初是由研究人员在2019年的正面技术中发现的,网络钓鱼信息包含了与以前未发现的恶意软件的链接。2020年针对俄罗斯政府组织的袭击,以及2021年夏天对其他企业的袭击。

进一步的调查显示,俄罗斯至少有两个在州参与的组织受到太空海盗小组的损害。

在第一种情况下,攻击者在十个月内获得了20台服务器的访问权限。在S中偷走了1,500多个内部文档。

Econd Case,APT组维持对目标网络的访问一年多,在此期间,它将恶意软件安装到三个不同区域的12个公司网络节点。

太空游客阿森纳包括广泛的恶意软件,包括独特的装载机和几个以前未发现的后门,这些后门被跟踪为mykloadclient,BH_A006,契约大鼠。,以及公共  revbshell  shell。APT组还利用了狗窝及效用来进行隧道交通。

专家强调,APT组之间的工具交换是亚洲地区的一种常见行为。space pirates


具有亚洲根源的APT集团继续攻击俄罗斯公司,这是由太空海盗集团的活动证实的。攻击者都开发了实施的新恶意软件S非标准技术(例如契约大鼠)并使用现有后门的修改。有时,这种修改可能会添加许多混淆层以抵消保护并使分析程序复杂化,例如在流行的GH0ST后门代码上建立的BH_A006。总结报告。在亚洲地区的APT组中,一个单独的困难是观察到的活动的确切归因:所使用的工具的频繁交换以及在某些情况下的各个组的关节活动,使此任务显着复杂。
 请投票给安全事务作为最佳欧洲网络安全博客作者颁奖2022年的获奖者投票在“弱者最佳个人(非商业)安全博客和Tech Whiz最佳技术博客”部分中为我投票。

提名,请访问: https://docs.google.com/forms/forms/d/e/1faipqlsfxxr tocimimz9qm9iipumqic-iomqic-iomqic-iom-npqmosfqmosfznjxrbbqryjgcrbqryjgcowfoffoffoRM  

- END -

看更多