Erudite Mogwai APT IOCs

security

В ноябре 2024 года команда Solar 4RAYS обнаружила адаптированную версию прокси-инструмента под названием Stowaway в ходе расследования вредоносной кампании, направленной на российские ИТ-организации.

Erudite Mogwai APT

Эта утилита, написанная на языке Go, была изначально разработана китайскими разработчиками и обычно используется специалистами по тестированию на проникновение. В адаптированной версии, использовавшейся в ходе кампании, были удалены и изменены некоторые функции. Было установлено, что утилита используется группой, известной под названиями Erudite Mogwai и Space Pirates.

Группа Erudite Mogwai, известная своей деятельностью по краже конфиденциальной информации и шпионажу, как минимум с 2017 года атакует государственные учреждения, ИТ-департаменты и предприятия, связанные с высокотехнологичными отраслями. В первую очередь они нацелены на организации в России, Грузии и Монголии. Методы, инструменты и цели группы менялись с течением времени. Среди инструментов, используемых группировкой, - LuckyStrike Agent, Shadowpad Light (Deed RAT) и адаптированная версия Stowaway.

Инцидент, послуживший поводом для расследования, произошел в начале ноября, когда в инфраструктуре государственного заказчика, за которым следит Solar JSOC, были замечены массовые сбои в работе утилит удаленного создания задач и разведки. В ходе расследования выяснилось, что злоумышленники получили доступ к нескольким системам, на которых был обнаружен запущенный Stowaway. Важно отметить, что в данном случае не было выявлено управляющего сервера, поскольку Stowaway работали в режиме прослушивания портов.

Настроенная утилита Stowaway в сочетании с другими инструментами использовалась для проксирования трафика и претерпела изменения в структуре протокола и добавила функции обфускации. Последняя известная версия использовала сжатие LZ4 и шифрование XXTEA, а также поддерживала протокол QUIC. В целом инцидент свидетельствует о том, что группировка продолжает разработку собственного форка утилиты Stowaway.

Таким образом, в ходе расследования кампании, направленной на российские ИТ-организации, была обнаружена адаптированная версия утилиты Stowaway, используемая группой Erudite Mogwai. Эта группа действует как минимум с 2017 года и специализируется на краже конфиденциальной информации и шпионаже. Инцидент был связан с массовыми сбоями в работе утилит удаленного создания задач и разведки, причем на взломанных системах была обнаружена запущенная Stowaway. Настроенная утилита Stowaway в сочетании с другими инструментами использовалась для проксирования трафика, при этом в ее функционал были внесены изменения и добавлены функции обфускации.

Indicators of Compromise

IPv4 Port Combinations

  • 46.17.43.99:443

Domain Port Combinations

  • wiod.mynetav.net:443

MD5

  • 1d9b8f08fb046ab644861f5f172582ee
  • 8d2315cfe0d678f9318d15a848d8ab33
  • b9c4ef019202d96e18672fad1c6508dd
  • d423dc26492d3212def0db188bdfb76d

SHA1

  • 118247d93d78bb124760e5729b541b4e109a7903
  • 7eef382754874c862d14d0cf826acff0ff9be948
  • 83892b96d51a54feb99894d9d63e1c163afe3f61
  • bac247ffbe7829677ca788274f46b34584e750bb

SHA256

  • 4e0b608982cc37dc08d3f099c1783290fcc959421cb0d7703ca1210990d02c93
  • 661f88afb7fbe1c6b83596f4e42a91fd3e8fc0a2e7fb9632536b9a6006f5f898
  • b0784c92bbb372062bc1d805316913b50b0f8cfb8696e33af26b61b8abc307ad
  • ce5045a20bcbc0e8386485dcf66ca58d02b026c47de649720d13cad71d564e90
Комментарии: 0