“Le groupe APT Red Stinger cible les infrastructures militaires et critiques en Europe de l’Est”.

Reading Time: ( Word Count: )

May 11, 2023
Nextdoorsec-course

Depuis décembre 2020, un collectif de cyberattaquants connu sous le nom de Red Stinger est à l’origine de plusieurs attaques sophistiquées et permanentes contre des cibles militaires, maritimes et d’infrastructure vitale en Europe de l’Est. Malwarebytes, une société de cybersécurité, a révélé que Red Stinger a ciblé des entités impliquées dans les référendums de septembre en Ukraine orientale et a réussi à voler des données sensibles telles que des instantanés, des clés USB, des frappes de clavier et des enregistrements de microphones, selon la campagne.

À lire également : Logiciel malveillant Atomic macOS : Voler vos mots de passe et vos portefeuilles de crypto-monnaie

Le groupe APT, qui recoupe un autre groupe de menaces connu sous le nom de Bad Magic, a ciblé des organisations gouvernementales, agricoles et de transport à Donetsk, Lougansk et en Crimée depuis 2020. La première opération a eu lieu en décembre 2020, et des éléments de preuve suggèrent que le groupe pourrait être actif depuis au moins septembre 2021. La dernière action enregistrée de l’organisation a eu lieu en septembre 2022, qui a également marqué le début de l’invasion armée de l’Ukraine par la Russie.

Sur les machines piratées, la chaîne d’assaut dépose l’implant DBoxShell (PowerMagic) à l’aide de fichiers d’installation frauduleux. Dans un paquet ZIP, un raccourci Windows est utilisé pour télécharger le fichier MSI. Le groupe a également utilisé des implants alternatifs comme GraphShell, qui utilise l’API Microsoft Graph à des fins de commande et de contrôle (C&C).

Dard rouge

Le gang a utilisé des outils tels que ngrok, rsockstun et un fichier binaire pour voler les informations des victimes vers un compte Dropbox sous le contrôle d’un acteur. Bien que l’ampleur exacte des infections ne soit pas connue, des éléments indiquent que deux victimes, un militaire et un fonctionnaire travaillant dans des installations importantes, ont été piratées en février 2022 dans le centre de l’Ukraine. Après une période d’observation, les agents potentiels ont, dans les deux cas, volé des captures d’écran, des enregistrements de microphones et des fichiers de bureau.

Les motivations de ces attaques restent inconnues, bien que les attaquants aient infecté leurs machines Windows 10 en décembre 2022, probablement à des fins de test. Le choix de l’échelle thermométrique Fahrenheit et de l’anglais comme langue principale montre que les membres du groupe étaient de langue maternelle anglaise.

Les experts affirment qu’il est difficile d’attribuer l’attaque à une nation en particulier, car certaines victimes soutenaient la Russie, tandis que d’autres soutenaient l’Ukraine. Les principaux objectifs de l’agression étaient la surveillance et la collecte de données, et les auteurs protégeaient leurs victimes à l’aide de divers moyens de défense et d’instruments puissants. L’attaque visait des entités spécifiques.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Top Security Practices to Protect Your Data in Cloud Services

Top Security Practices to Protect Your Data in Cloud Services

Cloud services make storing and accessing your data simple and flexible, but they also bring new security ...
Boosting Efficiency With Law Firm IT Solutions: A Guide for Small Practices

Boosting Efficiency With Law Firm IT Solutions: A Guide for Small Practices

Small law firms often juggle multiple responsibilities with limited resources, making efficiency a top priority. ...
Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *