Търсене
Close this search box.

Red Stinger се насочва към военна и критична инфраструктура в Източна Европа

Неоткрит досега участник в APT (advanced persistent threat), наречен Red Stinger, е свързан с атаки, насочени към Източна Европа от 2020 г. насам.

„Военни, транспортни и критични инфраструктури са били някои от целевите структури, както и такива, които са участвали в референдумите в Източна Украйна през септември“, разкрива Malwarebytes в доклад, публикуван днес.

„В зависимост от кампанията нападателите са успели да ексфилтрират снимки, USB устройства, удари по клавиатурата и записи от микрофон.“

Red Stinger се припокрива с клъстер от заплахи, който Kaspersky разкри под името Bad Magic миналия месец като насочен към правителствени, селскостопански и транспортни организации, разположени в Донецк, Луганск и Крим през миналата година.

Макар да имаше индикации, че APT групата може да е активна поне от септември 2021 г., последните открития на Malwarebytes връщат произхода й с близо година назад, като първата операция е проведена през декември 2020 г.

През годините веригата за атаки е използвала зловредни инсталационни файлове, за да пусне импланта DBoxShell (известен още като PowerMagic) на компрометирани системи. MSI файлът, от своя страна, се изтегля чрез файл с пряк път към Windows, съдържащ се в ZIP архив.

При последващите вълни, засечени през април и септември 2021 г., се наблюдава използване на подобни последователности на атаки, макар и с незначителни разлики в имената на MSI файловете.

Четвъртата група атаки съвпада с началото на военната инвазия на Русия в Украйна през февруари 2022 г. Последната известна активност, свързана с Red Stinger, е осъществена през септември 2022 г., както е документирано от Kaspersky.

„DBoxShell е зловреден софтуер, който използва услуги за съхранение в облака като механизъм за командване и управление (C&C)“, заявиха изследователите по сигурността Роберто Сантос и Хосейн Джази.

„Този етап служи като входна точка за нападателите, която им позволява да преценят дали целите са интересни или не, което означава, че в тази фаза те използват различни инструменти.“

Петата операция се отличава и с това, че предоставя алтернатива на DBoxShell, наречена GraphShell, която е наречена така заради използването на Microsoft Graph API за целите на C&C.

Първоначалната фаза на заразяване е последвана от разгръщане от страна на заплахата на допълнителни артефакти като ngrok, rsockstun (помощна програма за обратно тунелиране) и двоичен файл за екфилтриране на данни на жертвата към контролиран от заплахата акаунт в Dropbox.

Точният мащаб на инфекциите не е ясен, въпреки че доказателствата сочат две жертви, разположени в Централна Украйна – военна цел и служител, работещ в критичната инфраструктура – които са били компрометирани като част от атаките през февруари 2022 г.

И в двата случая извършителите са ексфилтрирали снимки на екрани, записи от микрофон и офис документи след период на разузнаване. При една от жертвите са били записани и качени и натисканията на клавишите.

От друга страна, наборът от прониквания от септември 2022 г. е значителен поради факта, че в него са били посочени главно региони, свързани с Русия, включително офицери и лица, участващи в избори. При една от целите на наблюдението са били ексфилтрирани данни от техните USB устройства.

Malwarebytes заяви, че е идентифицирал и библиотека в украинския град Виница, която е била заразена като част от същата кампания, което я прави единствената свързана с Украйна структура, която е била обект на атака. Мотивите засега са неизвестни.

Въпреки че произходът на групата за заплахи е загадка, стана ясно, че хакерите са успели да заразят собствените си машини с Windows 10 в някакъв момент през декември 2022 г., случайно или с цел тестване (предвид името TstUser), което предлага представа за начина им на действие.

Две неща се открояват: Изборът на английски език като език по подразбиране и използването на температурната скала по Фаренхайт за показване на времето, което вероятно предполага участието на хора, за които английският език е роден.

„В този случай приписването на атаката на конкретна държава не е лесна задача“, казват изследователите. „Всяка от участващите държави или свързани групи може да е отговорна, тъй като някои жертви са били свързани с Русия, а други – с Украйна.“

„Това, което е ясно, е, че основният мотив на атаката е бил наблюдението и събирането на данни. Нападателите са използвали различни нива на защита, разполагали са с обширен набор от инструменти за своите жертви и атаката е била ясно насочена към конкретни субекти.“

Източник: The Hacker News

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
20 май 2024

Квантовата навигация може да замени GPS съвсем ...

Британски консорциум, финансиран от правителството на Обединеното к...
Бъдете социални
Още по темата
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Чрез GitHub и FileZilla се ...

Наблюдавана е „многостранна кампания“, при която...
19/05/2024

Grandoreiro се завръща по -...

Банковият троянец за Android „Grandoreiro“ се...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!