LuckyStrike Agent
Hunt this family in your stack
Mallory pivots from this family to the IOCs, detections, and named campaigns that touch your stack, and pages you when something new lands.
Groups observed using it
2 distinct threat actors attributed by public researchers. Open in Mallory to see the full evidence chain and overlapping campaigns.
Lucky Strike Agent был замечен в атаках группировки Erudite Mogwai. Бэкдор использует технику AppDomain Manager Injection, способен выполнять широкий спектр команд, а также использует публичный облачный сервис OneDrive в качестве канала C2.
Space Pirates Targets Russian IT Firms With New LuckyStrike Agent Malware
Techniques & procedures
11 distinct techniques documented for this family, organized by ATT&CK tactic.
Resource Development
1 techniqueбэкдор ... использует публичный облачный сервис OneDrive в качестве канала C2. Не исключено также, что он может использовать и другие облачные сервисы.
Execution
2 techniquesCMD_TYPE_SHELL Исполнение консольной команды. В очередь Output записывается результат этой команды
Stealth
2 techniquesДанное ВПО использует технику AppDomain Manager Injection (T1574.014). Она позволяет загружать вредоносные .NET-сборки в легитимные .NET-приложения. В качестве такого приложения злоумышленниками выбран UevAppMonitor.exe.
CMD_TYPE_EXEC_ASM Подгрузка и исполнение переданной в аргументах сборки... CMD_TYPE_Plugin Подгрузка и исполнение сборки с заданными аргументами.
Discovery
4 techniquesСбор информации о системе (IP, имя пользователя, имя хоста...); ... генерация agent_id, который представляет собой MD5 от конкатенации строк "paid", AgentType, username...
Сбор информации о системе (IP, имя пользователя, имя хоста, PWD, информация о текущем процессе, время запуска, последнее время активности, полное имя операционной системы, также записывается информация о типе текущего агента и используемой версии .NET).
CMD_TYPE_FILE_BROWSE Обход директории. Возвращает информацию о файлах в директории или о файле (имя файла, полный путь, base64 от иконки, является ли путь директорией, время последней записи в файл, размер).
В главном потоке, если текущее время укладывается в интервал [BeginDate; EndDate]...
Command and Control
2 techniquesОсновной задачей данного цикла является получение токена доступа OneDrive с использованием Refresh Token... с помощью GraphQL в папке root/:/{FolderName}-{ListenerID}-{agent_id} создается файл... Чтение новых задач из директории TaskFolderName... После этого в директории ReceiveFolderName создается файл с расширением .max с содержимым вывода.
CMD_TYPE_UPLOAD Загрузка файла с C2. Содержимое также загружается чанками (содержится внутри сообщения в виде base64). Файл создается, только когда все чанки собраны.
Exfiltration
1 techniqueCMD_TYPE_DOWNLOAD Скачать файл с хоста жертвы. Вывод в очередь Output происходит чанками по 7340032 байт. Формат вывода: "FILEPATH|CHUNK_COUNT|CHUNK_INDEX|DATA_BASE64".
IOCs tracked for this family
33 indicators attributed across vendor reports, sandbox runs, and researcher write-ups. Full values are available in Mallory.
File hashes (MD5, SHA-1, SHA-256) from samples and reports.
Recent activity
2 sources tracked across advisories, community write-ups, and news. New activity surfaces here as Mallory finds it.
Previously undocumented malware used by Space Pirates against Russian IT organizations; detected Nov 2024.
Многофункциональный .NET-бэкдор с модульной архитектурой, загружаемый через AppDomain Manager Injection в легитимное .NET-приложение UevAppMonitor.exe. Использует OneDrive как C2-канал, собирает системную информацию, получает и выполняет команды, поддерживает загрузку/выгрузку файлов, выполнение shell-команд, запуск .NET-сборок и плагинов, изменение интервала сна и удаление файлов. В материале также отмечены признаки коммерческого происхождения и «платной версии».
The version that knows your environment.
Match every observed IP, domain, and hash against your live telemetry.
Named campaigns wielding this family, with evidence pinned to each claim.
CVEs this family uses for access and lateral movement.
YARA, Sigma, Snort, and vendor rules, auto-deployed to your SIEM.
Every documented technique, ranked by evidence weight.
Reddit, Mastodon, and CTI community discussion around this family.