研究人员揭露太空海盗在俄罗斯和塞尔维亚的网络活动

被称为“太空海盗”的威胁组织在过去一年中通过采用新颖的策略并在其武器库中添加新的网络武器，与针对俄罗斯和塞尔维亚至少 16 个组织的攻击有关。

Positive Technologies在上周发布的一份深度报告中表示：“网络犯罪分子的主要目标仍然是间谍活动和窃取机密信息，但该组织已经扩大了其利益和攻击范围。”

目标包括俄罗斯和塞尔维亚的政府机构、教育机构、私人保安公司、航空航天制造商、农业生产商、国防、能源和医疗保健公司。

俄罗斯网络安全公司于 2022 年 5 月首次曝光了“太空海盗”事件，突显了该公司对俄罗斯航空航天领域的攻击。据称，该组织至少从 2019 年底就开始活跃，并与赛门铁克追踪的另一个对手Webworm存在联系。

Positive Technologies 对攻击基础设施的分析表明，威胁行为者有兴趣收集 PST 电子邮件档案以及利用 Deed RAT（一种完全归因于敌对集体的恶意软件工件）。

Deed RAT 据说是ShadowPad的后继者，ShadowPad 本身是PlugX的演变，两者都被中国网络间谍组织广泛使用。该恶意软件正在积极开发中，有 32 位和 64 位版本，并能够从远程服务器动态检索其他插件。

其中包括一个磁盘插件，用于枚举文件和文件夹、执行命令、将任意文件写入磁盘以及连接到网络驱动器和用于端口转发的端口映射模块。

Deed RAT 还充当服务下一阶段有效负载的渠道，例如 Voidor，这是一种以前未记录的恶意软件，旨在联系名为 Voidtools 的合法论坛和与名为“hasdhuahd”的用户关联的 GitHub 存储库以进行命令和控制（ C2）。

Voidtools 是一款名为 Everything 的 Microsoft Windows 免费桌面搜索实用程序的开发商，其论坛使用名为 MyBB 的开源论坛软件提供支持。Voidor 的主要目标是使用硬编码凭据登录论坛并访问用户的个人消息系统以查找与特定受害者 ID 匹配的文件夹。

有证据显示，GitHub 和 voidtools 上的帐户是在 2022 年 11 月的某个时候注册的。

Positive Technologies 表示：“黑客正在开发新的恶意软件，这些恶意软件实施了 voidoor 等非常规技术，并修改了现有的恶意软件。”他补充说，攻击者使用“大量公开可用的网络导航工具”并利用 Acunetix 网络漏洞扫描仪“侦察其目标基础设施”。

原文始发于微信公众号（河南等级保护测评）：研究人员揭露太空海盗在俄罗斯和塞尔维亚的网络活动