Red Stinger се насочва към военна и критична инфраструктура в Източна Европа

Неоткрит досега участник в APT (advanced persistent threat), наречен Red Stinger, е свързан с атаки, насочени към Източна Европа от 2020 г. насам.

„Военни, транспортни и критични инфраструктури са били някои от целевите структури, както и такива, които са участвали в референдумите в Източна Украйна през септември“, разкрива Malwarebytes в доклад, публикуван днес.

„В зависимост от кампанията нападателите са успели да ексфилтрират снимки, USB устройства, удари по клавиатурата и записи от микрофон.“

Red Stinger се припокрива с клъстер от заплахи, който Kaspersky разкри под името Bad Magic миналия месец като насочен към правителствени, селскостопански и транспортни организации, разположени в Донецк, Луганск и Крим през миналата година.

Макар да имаше индикации, че APT групата може да е активна поне от септември 2021 г., последните открития на Malwarebytes връщат произхода й с близо година назад, като първата операция е проведена през декември 2020 г.

През годините веригата за атаки е използвала зловредни инсталационни файлове, за да пусне импланта DBoxShell (известен още като PowerMagic) на компрометирани системи. MSI файлът, от своя страна, се изтегля чрез файл с пряк път към Windows, съдържащ се в ZIP архив.

При последващите вълни, засечени през април и септември 2021 г., се наблюдава използване на подобни последователности на атаки, макар и с незначителни разлики в имената на MSI файловете.

Четвъртата група атаки съвпада с началото на военната инвазия на Русия в Украйна през февруари 2022 г. Последната известна активност, свързана с Red Stinger, е осъществена през септември 2022 г., както е документирано от Kaspersky.

„DBoxShell е зловреден софтуер, който използва услуги за съхранение в облака като механизъм за командване и управление (C&C)“, заявиха изследователите по сигурността Роберто Сантос и Хосейн Джази.

„Този етап служи като входна точка за нападателите, която им позволява да преценят дали целите са интересни или не, което означава, че в тази фаза те използват различни инструменти.“

Петата операция се отличава и с това, че предоставя алтернатива на DBoxShell, наречена GraphShell, която е наречена така заради използването на Microsoft Graph API за целите на C&C.

Първоначалната фаза на заразяване е последвана от разгръщане от страна на заплахата на допълнителни артефакти като ngrok, rsockstun (помощна програма за обратно тунелиране) и двоичен файл за екфилтриране на данни на жертвата към контролиран от заплахата акаунт в Dropbox.

Точният мащаб на инфекциите не е ясен, въпреки че доказателствата сочат две жертви, разположени в Централна Украйна – военна цел и служител, работещ в критичната инфраструктура – които са били компрометирани като част от атаките през февруари 2022 г.

И в двата случая извършителите са ексфилтрирали снимки на екрани, записи от микрофон и офис документи след период на разузнаване. При една от жертвите са били записани и качени и натисканията на клавишите.

От друга страна, наборът от прониквания от септември 2022 г. е значителен поради факта, че в него са били посочени главно региони, свързани с Русия, включително офицери и лица, участващи в избори. При една от целите на наблюдението са били ексфилтрирани данни от техните USB устройства.

Malwarebytes заяви, че е идентифицирал и библиотека в украинския град Виница, която е била заразена като част от същата кампания, което я прави единствената свързана с Украйна структура, която е била обект на атака. Мотивите засега са неизвестни.

Въпреки че произходът на групата за заплахи е загадка, стана ясно, че хакерите са успели да заразят собствените си машини с Windows 10 в някакъв момент през декември 2022 г., случайно или с цел тестване (предвид името TstUser), което предлага представа за начина им на действие.

Две неща се открояват: Изборът на английски език като език по подразбиране и използването на температурната скала по Фаренхайт за показване на времето, което вероятно предполага участието на хора, за които английският език е роден.

„В този случай приписването на атаката на конкретна държава не е лесна задача“, казват изследователите. „Всяка от участващите държави или свързани групи може да е отговорна, тъй като някои жертви са били свързани с Русия, а други – с Украйна.“

„Това, което е ясно, е, че основният мотив на атаката е бил наблюдението и събирането на данни. Нападателите са използвали различни нива на защита, разполагали са с обширен набор от инструменти за своите жертви и атаката е била ясно насочена към конкретни субекти.“

Източник: The Hacker News

Подобни публикации

4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
1 декември 2023

Енергийни смущения, свързани с киберсигурността

Експерти по сигурността предупреждават, че операторите на петролни ...
30 ноември 2023

Microsoft започва тестване на новата функция за...

Microsoft започна да тества нова функция на Windows 11 Energy Saver...
Бъдете социални
Още по темата
30/11/2023

Dollar Tree е жертва на нар...

Веригата дисконтови магазини Dollar Tree беше...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
28/11/2023

Хакери компрометираха чувст...

Rivers Casino Des Plaines е засегнато...
Последно добавени
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
03/12/2023

Свалянето на Qakbot: Смекча...

Министерството на правосъдието на САЩ и...
02/12/2023

Владимир Дунаев е осъден за...

Министерството на правосъдието на САЩ обяви,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!