Неоткрит досега участник в APT (advanced persistent threat), наречен Red Stinger, е свързан с атаки, насочени към Източна Европа от 2020 г. насам.
„Военни, транспортни и критични инфраструктури са били някои от целевите структури, както и такива, които са участвали в референдумите в Източна Украйна през септември“, разкрива Malwarebytes в доклад, публикуван днес.
„В зависимост от кампанията нападателите са успели да ексфилтрират снимки, USB устройства, удари по клавиатурата и записи от микрофон.“
Red Stinger се припокрива с клъстер от заплахи, който Kaspersky разкри под името Bad Magic миналия месец като насочен към правителствени, селскостопански и транспортни организации, разположени в Донецк, Луганск и Крим през миналата година.
Макар да имаше индикации, че APT групата може да е активна поне от септември 2021 г., последните открития на Malwarebytes връщат произхода й с близо година назад, като първата операция е проведена през декември 2020 г.
През годините веригата за атаки е използвала зловредни инсталационни файлове, за да пусне импланта DBoxShell (известен още като PowerMagic) на компрометирани системи. MSI файлът, от своя страна, се изтегля чрез файл с пряк път към Windows, съдържащ се в ZIP архив.
При последващите вълни, засечени през април и септември 2021 г., се наблюдава използване на подобни последователности на атаки, макар и с незначителни разлики в имената на MSI файловете.
Четвъртата група атаки съвпада с началото на военната инвазия на Русия в Украйна през февруари 2022 г. Последната известна активност, свързана с Red Stinger, е осъществена през септември 2022 г., както е документирано от Kaspersky.
„DBoxShell е зловреден софтуер, който използва услуги за съхранение в облака като механизъм за командване и управление (C&C)“, заявиха изследователите по сигурността Роберто Сантос и Хосейн Джази.
„Този етап служи като входна точка за нападателите, която им позволява да преценят дали целите са интересни или не, което означава, че в тази фаза те използват различни инструменти.“
Петата операция се отличава и с това, че предоставя алтернатива на DBoxShell, наречена GraphShell, която е наречена така заради използването на Microsoft Graph API за целите на C&C.
Първоначалната фаза на заразяване е последвана от разгръщане от страна на заплахата на допълнителни артефакти като ngrok, rsockstun (помощна програма за обратно тунелиране) и двоичен файл за екфилтриране на данни на жертвата към контролиран от заплахата акаунт в Dropbox.
Точният мащаб на инфекциите не е ясен, въпреки че доказателствата сочат две жертви, разположени в Централна Украйна – военна цел и служител, работещ в критичната инфраструктура – които са били компрометирани като част от атаките през февруари 2022 г.
И в двата случая извършителите са ексфилтрирали снимки на екрани, записи от микрофон и офис документи след период на разузнаване. При една от жертвите са били записани и качени и натисканията на клавишите.
От друга страна, наборът от прониквания от септември 2022 г. е значителен поради факта, че в него са били посочени главно региони, свързани с Русия, включително офицери и лица, участващи в избори. При една от целите на наблюдението са били ексфилтрирани данни от техните USB устройства.
Malwarebytes заяви, че е идентифицирал и библиотека в украинския град Виница, която е била заразена като част от същата кампания, което я прави единствената свързана с Украйна структура, която е била обект на атака. Мотивите засега са неизвестни.
Въпреки че произходът на групата за заплахи е загадка, стана ясно, че хакерите са успели да заразят собствените си машини с Windows 10 в някакъв момент през декември 2022 г., случайно или с цел тестване (предвид името TstUser), което предлага представа за начина им на действие.
Две неща се открояват: Изборът на английски език като език по подразбиране и използването на температурната скала по Фаренхайт за показване на времето, което вероятно предполага участието на хора, за които английският език е роден.
„В този случай приписването на атаката на конкретна държава не е лесна задача“, казват изследователите. „Всяка от участващите държави или свързани групи може да е отговорна, тъй като някои жертви са били свързани с Русия, а други – с Украйна.“
„Това, което е ясно, е, че основният мотив на атаката е бил наблюдението и събирането на данни. Нападателите са използвали различни нива на защита, разполагали са с обширен набор от инструменти за своите жертви и атаката е била ясно насочена към конкретни субекти.“
