28/02/25
Угрозу обнаружила компания Solar, которая классифицирует данную зловредную активность под кодовым названием Erudite Mogwai.
По данным исследователей, передаёт Securitylab, хакеры применяют не только новый вредонос, но и другие инструменты, такие как Deed RAT (он же ShadowPad Light) и модифицированную версию прокси-утилиты Stowaway. Последняя ранее была замечена в арсенале китайских кибергруппировок.
Erudite Mogwai, как сообщается, специализируется на кибер шпионаже и краже конфиденциальной информации. С 2017 года группировка атакует государственные учреждения, IT-отделы крупных компаний и предприятия высоких технологий, включая аэрокосмическую отрасль и энергетический сектор.
Эксперты Positive Technologies впервые задокументировали деятельность этой группы (названной Space Pirates) в 2022 году, тогда она использовала в атаках исключительно Deed RAT. В дальнейшем были выявлены тактические пересечения с другой кибергруппировкой — Webworm. Жертвами атак становились организации в России, Грузии и Монголии.
В одном из недавних случаев хакеры атаковали инфраструктуру государственного учреждения, получив доступ к публичному веб-сервису ещё в марте 2023 года. С этого момента они вели скрытную экспансию, постепенно охватывая всё больше систем. Спустя 19 месяцев, в ноябре 2024 года, им удалось проникнуть в сегменты сети, связанные с мониторингом.
LuckyStrike Agent представляет собой многофункциональный .NET-бэкдор, использующий Microsoft OneDrive для C2-операций. В ходе атаки злоумышленники задействовали его наряду с другими инструментами для разведки и расширения присутствия в системе.
Отдельного внимания заслуживает модификация Stowaway, которую хакеры доработали, сохранив только прокси-функционал. В новой версии утилиты используется алгоритм сжатия LZ4, шифрование XXTEA и поддержка протокола QUIC. По мнению специалистов Solar, это полноценный форк оригинальной программы. Помимо удаления ненужных возможностей, разработчики изменили названия функций и размеры структур, чтобы затруднить обнаружение на основе известных сигнатур.
Кибератака, продолжавшаяся почти два года, демонстрирует высокий уровень подготовки Erudite Mogwai. Группировка использует передовые техники скрытного проникновения и распространяет вредоносное ПО с уникальными модификациями, что делает её одной из самых опасных угроз для российских IT-компаний и госструктур.
