В ноябре 2024 года команда Solar 4RAYS обнаружила адаптированную версию прокси-инструмента под названием Stowaway в ходе расследования вредоносной кампании, направленной на российские ИТ-организации.
Erudite Mogwai APT
Эта утилита, написанная на языке Go, была изначально разработана китайскими разработчиками и обычно используется специалистами по тестированию на проникновение. В адаптированной версии, использовавшейся в ходе кампании, были удалены и изменены некоторые функции. Было установлено, что утилита используется группой, известной под названиями Erudite Mogwai и Space Pirates.
Группа Erudite Mogwai, известная своей деятельностью по краже конфиденциальной информации и шпионажу, как минимум с 2017 года атакует государственные учреждения, ИТ-департаменты и предприятия, связанные с высокотехнологичными отраслями. В первую очередь они нацелены на организации в России, Грузии и Монголии. Методы, инструменты и цели группы менялись с течением времени. Среди инструментов, используемых группировкой, - LuckyStrike Agent, Shadowpad Light (Deed RAT) и адаптированная версия Stowaway.
Инцидент, послуживший поводом для расследования, произошел в начале ноября, когда в инфраструктуре государственного заказчика, за которым следит Solar JSOC, были замечены массовые сбои в работе утилит удаленного создания задач и разведки. В ходе расследования выяснилось, что злоумышленники получили доступ к нескольким системам, на которых был обнаружен запущенный Stowaway. Важно отметить, что в данном случае не было выявлено управляющего сервера, поскольку Stowaway работали в режиме прослушивания портов.
Настроенная утилита Stowaway в сочетании с другими инструментами использовалась для проксирования трафика и претерпела изменения в структуре протокола и добавила функции обфускации. Последняя известная версия использовала сжатие LZ4 и шифрование XXTEA, а также поддерживала протокол QUIC. В целом инцидент свидетельствует о том, что группировка продолжает разработку собственного форка утилиты Stowaway.
Таким образом, в ходе расследования кампании, направленной на российские ИТ-организации, была обнаружена адаптированная версия утилиты Stowaway, используемая группой Erudite Mogwai. Эта группа действует как минимум с 2017 года и специализируется на краже конфиденциальной информации и шпионаже. Инцидент был связан с массовыми сбоями в работе утилит удаленного создания задач и разведки, причем на взломанных системах была обнаружена запущенная Stowaway. Настроенная утилита Stowaway в сочетании с другими инструментами использовалась для проксирования трафика, при этом в ее функционал были внесены изменения и добавлены функции обфускации.
Indicators of Compromise
IPv4 Port Combinations
- 46.17.43.99:443
Domain Port Combinations
- wiod.mynetav.net:443
MD5
- 1d9b8f08fb046ab644861f5f172582ee
- 8d2315cfe0d678f9318d15a848d8ab33
- b9c4ef019202d96e18672fad1c6508dd
- d423dc26492d3212def0db188bdfb76d
SHA1
- 118247d93d78bb124760e5729b541b4e109a7903
- 7eef382754874c862d14d0cf826acff0ff9be948
- 83892b96d51a54feb99894d9d63e1c163afe3f61
- bac247ffbe7829677ca788274f46b34584e750bb
SHA256
- 4e0b608982cc37dc08d3f099c1783290fcc959421cb0d7703ca1210990d02c93
- 661f88afb7fbe1c6b83596f4e42a91fd3e8fc0a2e7fb9632536b9a6006f5f898
- b0784c92bbb372062bc1d805316913b50b0f8cfb8696e33af26b61b8abc307ad
- ce5045a20bcbc0e8386485dcf66ca58d02b026c47de649720d13cad71d564e90
