« Le groupe APT Red Stinger cible les infrastructures militaires et critiques en Europe de l’Est ».

Reading Time: ( Word Count: )

mai 11, 2023
Nextdoorsec-course

Depuis décembre 2020, un collectif de cyberattaquants connu sous le nom de Red Stinger est à l’origine de plusieurs attaques sophistiquées et permanentes contre des cibles militaires, maritimes et d’infrastructure vitale en Europe de l’Est. Malwarebytes, une société de cybersécurité, a révélé que Red Stinger a ciblé des entités impliquées dans les référendums de septembre en Ukraine orientale et a réussi à voler des données sensibles telles que des instantanés, des clés USB, des frappes de clavier et des enregistrements de microphones, selon la campagne.

À lire également : Logiciel malveillant Atomic macOS : Voler vos mots de passe et vos portefeuilles de crypto-monnaie

Le groupe APT, qui recoupe un autre groupe de menaces connu sous le nom de Bad Magic, a ciblé des organisations gouvernementales, agricoles et de transport à Donetsk, Lougansk et en Crimée depuis 2020. La première opération a eu lieu en décembre 2020, et des éléments de preuve suggèrent que le groupe pourrait être actif depuis au moins septembre 2021. La dernière action enregistrée de l’organisation a eu lieu en septembre 2022, qui a également marqué le début de l’invasion armée de l’Ukraine par la Russie.

Sur les machines piratées, la chaîne d’assaut dépose l’implant DBoxShell (PowerMagic) à l’aide de fichiers d’installation frauduleux. Dans un paquet ZIP, un raccourci Windows est utilisé pour télécharger le fichier MSI. Le groupe a également utilisé des implants alternatifs comme GraphShell, qui utilise l’API Microsoft Graph à des fins de commande et de contrôle (C&C).

Dard rouge

Le gang a utilisé des outils tels que ngrok, rsockstun et un fichier binaire pour voler les informations des victimes vers un compte Dropbox sous le contrôle d’un acteur. Bien que l’ampleur exacte des infections ne soit pas connue, des éléments indiquent que deux victimes, un militaire et un fonctionnaire travaillant dans des installations importantes, ont été piratées en février 2022 dans le centre de l’Ukraine. Après une période d’observation, les agents potentiels ont, dans les deux cas, volé des captures d’écran, des enregistrements de microphones et des fichiers de bureau.

Les motivations de ces attaques restent inconnues, bien que les attaquants aient infecté leurs machines Windows 10 en décembre 2022, probablement à des fins de test. Le choix de l’échelle thermométrique Fahrenheit et de l’anglais comme langue principale montre que les membres du groupe étaient de langue maternelle anglaise.

Les experts affirment qu’il est difficile d’attribuer l’attaque à une nation en particulier, car certaines victimes soutenaient la Russie, tandis que d’autres soutenaient l’Ukraine. Les principaux objectifs de l’agression étaient la surveillance et la collecte de données, et les auteurs protégeaient leurs victimes à l’aide de divers moyens de défense et d’instruments puissants. L’attaque visait des entités spécifiques.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

« Apple neutralise les vulnérabilités exploitées : Une mise à jour complète »

Apple a mis en place des améliorations de sécurité pour neutraliser les vulnérabilités de type "zero-day" ...

« Risques invisibles : Comment la clé volée de Microsoft pourrait débloquer plus de choses que prévu »

Le vol présumé d'une clé de sécurité de Microsoft pourrait avoir permis à des espions liés à Pékin de violer bien ...

Test DNS Secure : Sécurisez votre voyage en ligne

Welcome to the fast-paced digital era, where cybersecurity is not just a buzzword but a critical aspect of our ...
0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *