MalwareUsed by 1 actorExploits 1 CVE

BH_A006

For your environment

Hunt this family in your stack

Mallory pivots from this family to the IOCs, detections, and named campaigns that touch your stack, and pages you when something new lands.

Start free trial

EXPLOITED CVES

Vulnerabilities exploited

1 CVE Mallory has correlated with this family across public research and vendor advisories. Each row links to the full Mallory page for that vulnerability.

1 CVES

CVE-2017-0213Windows COM Aggregate Marshaler Elevation of PrivilegeExploited in the wild

Privilege Escalation T1068 Exploitation for Privilege Escalation Группа Space Pirates может использовать уязвимость CVE-2017-0213 для повышения привилегий

via ptsecurityptsecurity.com

THREAT ACTORS

Groups observed using it

1 distinct threat actor attributed by public researchers. Open in Mallory to see the full evidence chain and overlapping campaigns.

View more details

Space Pirates

BH_A006 имеет нетривиальную схему исполнения полезной нагрузки, которая может варьироваться на начальных этапах в различных экземплярах.

via ptsecurityptsecurity.com

MITRE ATT&CK

Techniques & procedures

17 distinct techniques documented for this family, organized by ATT&CK tactic.

Execution

2 techniques

T1106Native APIEvidence1

TacticExecution

ВПО группы Space Pirates использует функции WinAPI для запуска новых процессов и внедрения шеллкода

T1569.002Service ExecutionEvidence1

TacticExecution

Группа Space Pirates создает вредоносные сервисы

Persistence

1 technique

T1543.003Windows ServiceEvidence1

TacticsPersistence Privilege Escalation

Для закрепления на узле группа Space Pirates создает вредоносные сервисы

Privilege Escalation

3 techniques

T1055Process InjectionEvidence1

TacticsPrivilege Escalation Stealth

инжектор ... сводится к извлечению DLL следующей стадии и внедрению ее кода в процесс rdpclip.exe... ВПО группы Space Pirates может внедрять шеллкод в другие процессы

T1543.003Windows ServiceEvidence1

TacticsPersistence Privilege Escalation

Для закрепления на узле группа Space Pirates создает вредоносные сервисы

T1548.002Bypass User Account ControlEvidence1

TacticPrivilege Escalation

в siteadv.dll присутствует ... экспорт ... отвечающий за обход UAC... применяемый метод UAC bypass зависит ... реализовано три известных метода

Stealth

8 techniques

T1027.002Software PackingEvidence1

TacticStealth

Одна из стадий ВПО BH_A006 обфусцирована с помощью неизвестного протектора

T1036.004Masquerade Task or ServiceEvidence1

TacticStealth

При создании сервисов группа Space Pirates использует легитимно выглядящие имена

T1036.005Match Legitimate Resource Name or LocationEvidence1

TacticStealth

Группа Space Pirates маскирует свое ВПО под легитимное ПО

T1055Process InjectionEvidence1

TacticsPrivilege Escalation Stealth

T1140Deobfuscate/Decode Files or InformationEvidence1

TacticStealth

ВПО группы Space Pirates шифрует конфигурационные данные и полезную нагрузку с помощью различных алгоритмов

T1218.011Rundll32Evidence1

TacticStealth

Группа Space Pirates может использовать rundll32.exe для запуска DLL-библиотек

T1564.001Hidden Files and DirectoriesEvidence1

TacticStealth

Группа Space Pirates может хранить свое ВПО в скрытых папках по пути C:\ProgramData

T1620Reflective Code LoadingEvidence1

TacticStealth

дроппер также выполняет рефлективную загрузку и исполнение EXE-файла непосредственно в текущем процессе... ВПО группы Space Pirates использует рефлективную загрузку для запуска полезной нагрузки в памяти

Credential Access

1 technique

T1056.001KeyloggingEvidence1

TacticsCredential Access Collection

Группа Space Pirates может записывать пользовательский ввод с помощью своего ВПО

Discovery

2 techniques

T1057Process DiscoveryEvidence1

TacticDiscovery

Группа Space Pirates использует утилиту tasklist.exe для получения информации о процессах

T1614.001System Language DiscoveryEvidence1

TacticDiscovery

Deed RAT в процессе сбора информации о системе получает языковой идентификатор LCID

Collection

1 technique

T1056.001KeyloggingEvidence1

TacticsCredential Access Collection

Группа Space Pirates может записывать пользовательский ввод с помощью своего ВПО

Command and Control

2 techniques

T1095Non-Application Layer ProtocolEvidence1

TacticCommand and Control

Соединение с контрольным сервером происходит по TCP, при этом трафик не шифруется... Zupdax ... использует протокол UDT ... поверх UDP... ВПО группы Space Pirates использует собственные протоколы

T1132.001Standard EncodingEvidence1

TacticCommand and Control

ВПО группы Space Pirates может сжимать сетевые сообщения с помощью алгоритмов LZNT1 и LZW

INDICATORS OF COMPROMISE

IOCs tracked for this family

73 indicators attributed across vendor reports, sandbox runs, and researcher write-ups. Full values are available in Mallory.

View more in app

Network

7 tracked

IPs, domains, and DNS infrastructure linked to this family.

Hashes

66 tracked

File hashes (MD5, SHA-1, SHA-256) from samples and reports.

TypeValueLatest sighting

hash.sha256●●●●●●●●●●●●View more in app20 days ago

hash.sha1●●●●●●●●●●●●View more in app4 years ago

hash.md5●●●●●●●●●●●●View more in app4 years ago

hash.sha1●●●●●●●●●●●●View more in app4 years ago

hash.sha256●●●●●●●●●●●●View more in app4 years ago

ACTIVITY FEED

Recent activity

2 sources tracked across advisories, community write-ups, and news. New activity surfaces here as Mallory finds it.

2 SOURCESView more in app

web archiveNews

May 17, 2022

Space Pirates: analyzing the tools and connections of a new hacker group

Multi-stage loader culminating in a Gh0st-derived backdoor payload. Uses layered droppers/loaders (overlay DLL reflective load; Sandboxie side-loading; encrypted .dat shellcode stages; repeated MemLoadLibrary-style reflective loading). Implements UAC bypass paths and persistence/service creation; includes a distinctive network signature generation algorithm (bit-level encoding with constant 0x31230C0). Shares shellcode/loader techniques with 9002 RAT samples.

ptsecurityNews

Oct 9, 2018

Space Pirates: исследуем инструменты и связи новой хакерской группировки

Многостадийный загрузчик и бэкдор на основе модифицированного Gh0st, использующий несколько стадий шеллкода, обход UAC, side-loading и обфускацию для запуска полезной нагрузки.

What this page doesn’t show

The version that knows your environment.

This page is what’s public. Mallory adds the parts that aren’t: which of your assets match these IOCs, which detections are missing, which campaigns to expect next, and what to do in the next 30 minutes.

Start free trial

IOC matching73

Match every observed IP, domain, and hash against your live telemetry.

Threat actor attribution1

Named campaigns wielding this family, with evidence pinned to each claim.

Exploited vulnerabilities1

CVEs this family uses for access and lateral movement.

Detection signatures

YARA, Sigma, Snort, and vendor rules, auto-deployed to your SIEM.

MITRE ATT&CK mapping17

Every documented technique, ranked by evidence weight.

Researcher chatter

Reddit, Mastodon, and CTI community discussion around this family.