“Red Stinger APT-groep richt zich op militaire en kritieke infrastructuur in Oost-Europa”

Reading Time: ( Word Count: )

May 11, 2023
Nextdoorsec-course

Sinds december 2020 is een collectief van cyberaanvallers, bekend onder de naam Red Stinger, verantwoordelijk voor verschillende geraffineerde aanvallen met voortdurende dreiging (APT) op Oost-Europese militaire, scheepvaart- en vitale infrastructuurdoelen. Malwarebytes, een cyberbeveiligingsbedrijf, heeft onthuld dat Red Stinger zich richtte op entiteiten die betrokken waren bij de referenda in september in Oost-Oekraïne en erin slaagde gevoelige gegevens te stelen, zoals snapshots, USB-schijven, toetsenbordaanslagen en microfoonopnames, afhankelijk van de campagne.

Lees ook: Atomic macOS Malware: Uw wachtwoorden en cryptoportefeuilles stelen

De APT-groep, die overlapt met een ander dreigingscluster dat bekend staat als Bad Magic, heeft zich sinds 2020 gericht op overheids-, landbouw- en transportorganisaties in Donetsk, Lugansk en de Krim. De eerste operatie vond plaats in december 2020, en er zijn aanwijzingen dat de groep ten minste sinds september 2021 actief is. De laatste geregistreerde actie van de organisatie vond plaats in september 2022, wat ook het begin was van de gewapende invasie van Rusland in Oekraïne.

Op gehackte machines laat de aanvalsketen het DBoxShell (PowerMagic) implantaat vallen met behulp van frauduleuze installatiebestanden. Binnen een ZIP-pakket wordt een Windows-snelkoppeling gebruikt om het MSI-bestand te downloaden. De groep heeft ook alternatieve implantaten gebruikt zoals GraphShell, dat de Microsoft Graph API gebruikt voor command-and-control (C&C) doeleinden.

Red Stinger

De bende gebruikte tools zoals ngrok, rsockstun en een binair bestand om informatie van slachtoffers te stelen naar een Dropbox-account onder controle van een acteur. Hoewel de exacte omvang van de infecties onbekend is, zijn er aanwijzingen dat twee slachtoffers, een militair slachtoffer en een ambtenaar die in belangrijke faciliteiten werkte, in februari 2022 in Midden-Oekraïne waren gehackt. Na een periode van observatie stalen de potentiële agenten in beide gevallen schermafbeeldingen, microfoonopnames en kantoorbestanden.

De motivaties achter de aanvallen blijven onbekend, hoewel de aanvallers hun Windows 10-machines in december 2022 besmetten, waarschijnlijk voor testdoeleinden. De keuze van de groep voor de thermometerschaal van Fahrenheit en het Engels als hoofdtaal toont aan dat het om moedertaalsprekers van het Engels ging.

De deskundigen stellen dat het moeilijk is om de aanval op een bepaald land toe te wijzen, aangezien sommige slachtoffers Rusland steunden en andere Oekraïne. De belangrijkste doelen van de aanval waren monitoring en gegevensverzameling en de daders beschermden hun slachtoffers met verschillende verdedigingsmiddelen en krachtige instrumenten. De aanval was gericht op specifieke entiteiten.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *