« Le groupe APT Red Stinger cible les infrastructures militaires et critiques en Europe de l’Est ».

Reading Time: ( Word Count: )

mai 11, 2023
Nextdoorsec-course

Depuis décembre 2020, un collectif de cyberattaquants connu sous le nom de Red Stinger est à l’origine de plusieurs attaques sophistiquées et permanentes contre des cibles militaires, maritimes et d’infrastructure vitale en Europe de l’Est. Malwarebytes, une société de cybersécurité, a révélé que Red Stinger a ciblé des entités impliquées dans les référendums de septembre en Ukraine orientale et a réussi à voler des données sensibles telles que des instantanés, des clés USB, des frappes de clavier et des enregistrements de microphones, selon la campagne.

À lire également : Logiciel malveillant Atomic macOS : Voler vos mots de passe et vos portefeuilles de crypto-monnaie

Le groupe APT, qui recoupe un autre groupe de menaces connu sous le nom de Bad Magic, a ciblé des organisations gouvernementales, agricoles et de transport à Donetsk, Lougansk et en Crimée depuis 2020. La première opération a eu lieu en décembre 2020, et des éléments de preuve suggèrent que le groupe pourrait être actif depuis au moins septembre 2021. La dernière action enregistrée de l’organisation a eu lieu en septembre 2022, qui a également marqué le début de l’invasion armée de l’Ukraine par la Russie.

Sur les machines piratées, la chaîne d’assaut dépose l’implant DBoxShell (PowerMagic) à l’aide de fichiers d’installation frauduleux. Dans un paquet ZIP, un raccourci Windows est utilisé pour télécharger le fichier MSI. Le groupe a également utilisé des implants alternatifs comme GraphShell, qui utilise l’API Microsoft Graph à des fins de commande et de contrôle (C&C).

Dard rouge

Le gang a utilisé des outils tels que ngrok, rsockstun et un fichier binaire pour voler les informations des victimes vers un compte Dropbox sous le contrôle d’un acteur. Bien que l’ampleur exacte des infections ne soit pas connue, des éléments indiquent que deux victimes, un militaire et un fonctionnaire travaillant dans des installations importantes, ont été piratées en février 2022 dans le centre de l’Ukraine. Après une période d’observation, les agents potentiels ont, dans les deux cas, volé des captures d’écran, des enregistrements de microphones et des fichiers de bureau.

Les motivations de ces attaques restent inconnues, bien que les attaquants aient infecté leurs machines Windows 10 en décembre 2022, probablement à des fins de test. Le choix de l’échelle thermométrique Fahrenheit et de l’anglais comme langue principale montre que les membres du groupe étaient de langue maternelle anglaise.

Les experts affirment qu’il est difficile d’attribuer l’attaque à une nation en particulier, car certaines victimes soutenaient la Russie, tandis que d’autres soutenaient l’Ukraine. Les principaux objectifs de l’agression étaient la surveillance et la collecte de données, et les auteurs protégeaient leurs victimes à l’aide de divers moyens de défense et d’instruments puissants. L’attaque visait des entités spécifiques.

Saher

Saher

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

La popularité de l’esport et ses tendances

L'esport, le monde du jeu vidéo compétitif, est devenu populaire ces dernières années. Il captive des millions de ...

Jeux en ligne permettant de gagner de l’argent

À l'ère numérique, les jeux en ligne sont devenus plus qu'une simple source de divertissement. Il est devenu une ...

Netstat vs. Nmap vs. Netcat : Comprendre les différences

Dans le domaine des réseaux et de l'administration des systèmes, divers outils aident les professionnels à ...

Nmap vs. Nessus : une comparaison complète

En ce qui concerne la sécurité des réseaux et l'évaluation des vulnérabilités, deux outils populaires viennent ...
0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *