Търсене
Close this search box.

Неоткрит досега участник в APT (advanced persistent threat), наречен Red Stinger, е свързан с атаки, насочени към Източна Европа от 2020 г. насам.

„Военни, транспортни и критични инфраструктури са били някои от целевите структури, както и такива, които са участвали в референдумите в Източна Украйна през септември“, разкрива Malwarebytes в доклад, публикуван днес.

„В зависимост от кампанията нападателите са успели да ексфилтрират снимки, USB устройства, удари по клавиатурата и записи от микрофон.“

Red Stinger се припокрива с клъстер от заплахи, който Kaspersky разкри под името Bad Magic миналия месец като насочен към правителствени, селскостопански и транспортни организации, разположени в Донецк, Луганск и Крим през миналата година.

Макар да имаше индикации, че APT групата може да е активна поне от септември 2021 г., последните открития на Malwarebytes връщат произхода й с близо година назад, като първата операция е проведена през декември 2020 г.

През годините веригата за атаки е използвала зловредни инсталационни файлове, за да пусне импланта DBoxShell (известен още като PowerMagic) на компрометирани системи. MSI файлът, от своя страна, се изтегля чрез файл с пряк път към Windows, съдържащ се в ZIP архив.

При последващите вълни, засечени през април и септември 2021 г., се наблюдава използване на подобни последователности на атаки, макар и с незначителни разлики в имената на MSI файловете.

Четвъртата група атаки съвпада с началото на военната инвазия на Русия в Украйна през февруари 2022 г. Последната известна активност, свързана с Red Stinger, е осъществена през септември 2022 г., както е документирано от Kaspersky.

„DBoxShell е зловреден софтуер, който използва услуги за съхранение в облака като механизъм за командване и управление (C&C)“, заявиха изследователите по сигурността Роберто Сантос и Хосейн Джази.

„Този етап служи като входна точка за нападателите, която им позволява да преценят дали целите са интересни или не, което означава, че в тази фаза те използват различни инструменти.“

Петата операция се отличава и с това, че предоставя алтернатива на DBoxShell, наречена GraphShell, която е наречена така заради използването на Microsoft Graph API за целите на C&C.

Първоначалната фаза на заразяване е последвана от разгръщане от страна на заплахата на допълнителни артефакти като ngrok, rsockstun (помощна програма за обратно тунелиране) и двоичен файл за екфилтриране на данни на жертвата към контролиран от заплахата акаунт в Dropbox.

Точният мащаб на инфекциите не е ясен, въпреки че доказателствата сочат две жертви, разположени в Централна Украйна – военна цел и служител, работещ в критичната инфраструктура – които са били компрометирани като част от атаките през февруари 2022 г.

И в двата случая извършителите са ексфилтрирали снимки на екрани, записи от микрофон и офис документи след период на разузнаване. При една от жертвите са били записани и качени и натисканията на клавишите.

От друга страна, наборът от прониквания от септември 2022 г. е значителен поради факта, че в него са били посочени главно региони, свързани с Русия, включително офицери и лица, участващи в избори. При една от целите на наблюдението са били ексфилтрирани данни от техните USB устройства.

Malwarebytes заяви, че е идентифицирал и библиотека в украинския град Виница, която е била заразена като част от същата кампания, което я прави единствената свързана с Украйна структура, която е била обект на атака. Мотивите засега са неизвестни.

Въпреки че произходът на групата за заплахи е загадка, стана ясно, че хакерите са успели да заразят собствените си машини с Windows 10 в някакъв момент през декември 2022 г., случайно или с цел тестване (предвид името TstUser), което предлага представа за начина им на действие.

Две неща се открояват: Изборът на английски език като език по подразбиране и използването на температурната скала по Фаренхайт за показване на времето, което вероятно предполага участието на хора, за които английският език е роден.

„В този случай приписването на атаката на конкретна държава не е лесна задача“, казват изследователите. „Всяка от участващите държави или свързани групи може да е отговорна, тъй като някои жертви са били свързани с Русия, а други – с Украйна.“

„Това, което е ясно, е, че основният мотив на атаката е бил наблюдението и събирането на данни. Нападателите са използвали различни нива на защита, разполагали са с обширен набор от инструменти за своите жертви и атаката е била ясно насочена към конкретни субекти.“

Източник: The Hacker News

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
Бъдете социални
Още по темата
18/09/2024

Китаец е използвал спиър фи...

В понеделник САЩ обявиха обвинения срещу...
12/09/2024

PIXHELL позволява прескачан...

Изследовател е представил подробности за нов...
12/09/2024

Пробив на KemperSports зас...

Тази седмица компанията за управление на...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!