“Red Stinger APT-groep richt zich op militaire en kritieke infrastructuur in Oost-Europa”

Reading Time: ( Word Count: )

mei 11, 2023
Nextdoorsec-course

Sinds december 2020 is een collectief van cyberaanvallers, bekend onder de naam Red Stinger, verantwoordelijk voor verschillende geraffineerde aanvallen met voortdurende dreiging (APT) op Oost-Europese militaire, scheepvaart- en vitale infrastructuurdoelen. Malwarebytes, een cyberbeveiligingsbedrijf, heeft onthuld dat Red Stinger zich richtte op entiteiten die betrokken waren bij de referenda in september in Oost-Oekraïne en erin slaagde gevoelige gegevens te stelen, zoals snapshots, USB-schijven, toetsenbordaanslagen en microfoonopnames, afhankelijk van de campagne.

Lees ook: Atomic macOS Malware: Uw wachtwoorden en cryptoportefeuilles stelen

De APT-groep, die overlapt met een ander dreigingscluster dat bekend staat als Bad Magic, heeft zich sinds 2020 gericht op overheids-, landbouw- en transportorganisaties in Donetsk, Lugansk en de Krim. De eerste operatie vond plaats in december 2020, en er zijn aanwijzingen dat de groep ten minste sinds september 2021 actief is. De laatste geregistreerde actie van de organisatie vond plaats in september 2022, wat ook het begin was van de gewapende invasie van Rusland in Oekraïne.

Op gehackte machines laat de aanvalsketen het DBoxShell (PowerMagic) implantaat vallen met behulp van frauduleuze installatiebestanden. Binnen een ZIP-pakket wordt een Windows-snelkoppeling gebruikt om het MSI-bestand te downloaden. De groep heeft ook alternatieve implantaten gebruikt zoals GraphShell, dat de Microsoft Graph API gebruikt voor command-and-control (C&C) doeleinden.

Red Stinger

De bende gebruikte tools zoals ngrok, rsockstun en een binair bestand om informatie van slachtoffers te stelen naar een Dropbox-account onder controle van een acteur. Hoewel de exacte omvang van de infecties onbekend is, zijn er aanwijzingen dat twee slachtoffers, een militair slachtoffer en een ambtenaar die in belangrijke faciliteiten werkte, in februari 2022 in Midden-Oekraïne waren gehackt. Na een periode van observatie stalen de potentiële agenten in beide gevallen schermafbeeldingen, microfoonopnames en kantoorbestanden.

De motivaties achter de aanvallen blijven onbekend, hoewel de aanvallers hun Windows 10-machines in december 2022 besmetten, waarschijnlijk voor testdoeleinden. De keuze van de groep voor de thermometerschaal van Fahrenheit en het Engels als hoofdtaal toont aan dat het om moedertaalsprekers van het Engels ging.

De deskundigen stellen dat het moeilijk is om de aanval op een bepaald land toe te wijzen, aangezien sommige slachtoffers Rusland steunden en andere Oekraïne. De belangrijkste doelen van de aanval waren monitoring en gegevensverzameling en de daders beschermden hun slachtoffers met verschillende verdedigingsmiddelen en krachtige instrumenten. De aanval was gericht op specifieke entiteiten.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

“Apple neutraliseert misbruikte kwetsbaarheden: Een uitgebreide update”

Apple heeft beveiligingsverbeteringen geïntroduceerd om 'zero-day'-kwetsbaarheden te neutraliseren die zijn ...

“De AI-prestaties van ChatGPT: Verder dan de Turingtest of nog niet helemaal?”

ChatGPT, een kunstmatige intelligentie chatbot van OpenAI, heeft door zijn buitengewone capaciteiten veel stof ...

“Verliest Threads zijn draad? De Twitter rivaal van Instagram nader bekeken”.

Een artikel van de Wall Street Journal van vrijdag waarschuwde dat Instagram's nieuwe concurrent voor Twitter, ...

“VirusTotal’s datalek: Menselijke fout of systeemfout?”

Vrijdag betuigde VirusTotal spijt over het onopzettelijk blootstellen van de gegevens van meer dan 5.600 klanten ...
0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *