Неоткрит досега участник в APT (advanced persistent threat), наречен Red Stinger, е свързан с атаки, насочени към Източна Европа от 2020 г. насам.

„Военни, транспортни и критични инфраструктури са били някои от целевите структури, както и такива, които са участвали в референдумите в Източна Украйна през септември“, разкрива Malwarebytes в доклад, публикуван днес.

„В зависимост от кампанията нападателите са успели да ексфилтрират снимки, USB устройства, удари по клавиатурата и записи от микрофон.“

Red Stinger се припокрива с клъстер от заплахи, който Kaspersky разкри под името Bad Magic миналия месец като насочен към правителствени, селскостопански и транспортни организации, разположени в Донецк, Луганск и Крим през миналата година.

Макар да имаше индикации, че APT групата може да е активна поне от септември 2021 г., последните открития на Malwarebytes връщат произхода й с близо година назад, като първата операция е проведена през декември 2020 г.

През годините веригата за атаки е използвала зловредни инсталационни файлове, за да пусне импланта DBoxShell (известен още като PowerMagic) на компрометирани системи. MSI файлът, от своя страна, се изтегля чрез файл с пряк път към Windows, съдържащ се в ZIP архив.

При последващите вълни, засечени през април и септември 2021 г., се наблюдава използване на подобни последователности на атаки, макар и с незначителни разлики в имената на MSI файловете.

Четвъртата група атаки съвпада с началото на военната инвазия на Русия в Украйна през февруари 2022 г. Последната известна активност, свързана с Red Stinger, е осъществена през септември 2022 г., както е документирано от Kaspersky.

„DBoxShell е зловреден софтуер, който използва услуги за съхранение в облака като механизъм за командване и управление (C&C)“, заявиха изследователите по сигурността Роберто Сантос и Хосейн Джази.

„Този етап служи като входна точка за нападателите, която им позволява да преценят дали целите са интересни или не, което означава, че в тази фаза те използват различни инструменти.“

Петата операция се отличава и с това, че предоставя алтернатива на DBoxShell, наречена GraphShell, която е наречена така заради използването на Microsoft Graph API за целите на C&C.

Първоначалната фаза на заразяване е последвана от разгръщане от страна на заплахата на допълнителни артефакти като ngrok, rsockstun (помощна програма за обратно тунелиране) и двоичен файл за екфилтриране на данни на жертвата към контролиран от заплахата акаунт в Dropbox.

Точният мащаб на инфекциите не е ясен, въпреки че доказателствата сочат две жертви, разположени в Централна Украйна – военна цел и служител, работещ в критичната инфраструктура – които са били компрометирани като част от атаките през февруари 2022 г.

И в двата случая извършителите са ексфилтрирали снимки на екрани, записи от микрофон и офис документи след период на разузнаване. При една от жертвите са били записани и качени и натисканията на клавишите.

От друга страна, наборът от прониквания от септември 2022 г. е значителен поради факта, че в него са били посочени главно региони, свързани с Русия, включително офицери и лица, участващи в избори. При една от целите на наблюдението са били ексфилтрирани данни от техните USB устройства.

Malwarebytes заяви, че е идентифицирал и библиотека в украинския град Виница, която е била заразена като част от същата кампания, което я прави единствената свързана с Украйна структура, която е била обект на атака. Мотивите засега са неизвестни.

Въпреки че произходът на групата за заплахи е загадка, стана ясно, че хакерите са успели да заразят собствените си машини с Windows 10 в някакъв момент през декември 2022 г., случайно или с цел тестване (предвид името TstUser), което предлага представа за начина им на действие.

Две неща се открояват: Изборът на английски език като език по подразбиране и използването на температурната скала по Фаренхайт за показване на времето, което вероятно предполага участието на хора, за които английският език е роден.

„В този случай приписването на атаката на конкретна държава не е лесна задача“, казват изследователите. „Всяка от участващите държави или свързани групи може да е отговорна, тъй като някои жертви са били свързани с Русия, а други – с Украйна.“

„Това, което е ясно, е, че основният мотив на атаката е бил наблюдението и събирането на данни. Нападателите са използвали различни нива на защита, разполагали са с обширен набор от инструменти за своите жертви и атаката е била ясно насочена към конкретни субекти.“

Източник: The Hacker News

Подобни публикации

18 април 2025

Глобална компания за събития стана жертва на се...

Legends International, водещ доставчик на услуги за спортни, развле...
17 април 2025

Китайска APT група използва усъвършенстван бекд...

Нови версии на бекдора BrickStorm, използван при компрометирането н...
17 април 2025

Крис Кребс напуска SentinelOne заради войната с...

Бившият директор на Агенцията за киберсигурност и инфраструктурна с...
17 април 2025

Apple пусна спешни ъпдейти за iOS и macOS

На 17 април (сряда) Apple публикува извънредни ъпдейти за операцион...
17 април 2025

Starlink превзе интернет пазара в Нигерия, но н...

В началото на 2023 г. Нигерия стана първата африканска държава, в к...
16 април 2025

CISA гарантира непрекъсната работа на програмат...

Американската Агенция за киберсигурност и сигурност на инфраструкту...
16 април 2025

Програмата CVE може да остане без финансиране

На 16 април 2025 г. изтича финансирането от страна на федералното п...
16 април 2025

Рязък скок в компрометирането на лични данни: 1...

Според последни данни от Identity Theft Resource Center (ITRC), бро...
Бъдете социални
Още по темата
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
17/04/2025

Китайска APT група използва...

Нови версии на бекдора BrickStorm, използван...
15/04/2025

Кибератаки: 56% от случаите...

В нов доклад на Sophos, фирма...
Последно добавени
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
17/04/2025

Китайска APT група използва...

Нови версии на бекдора BrickStorm, използван...
17/04/2025

Крис Кребс напуска Sentinel...

Бившият директор на Агенцията за киберсигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!