Seit Dezember 2020 ist ein als Red Stinger bekanntes Cyber-Angreifer-Kollektiv für mehrere hochentwickelte, fortlaufende Angriffe auf osteuropäische Militär-, Schifffahrts- und wichtige Infrastrukturziele verantwortlich. Malwarebytes, ein Cybersicherheitsunternehmen, hat aufgedeckt, dass Red Stinger auf Einrichtungen abzielte, die an den Referenden in der Ostukraine im September beteiligt waren, und je nach Kampagne sensible Daten wie Schnappschüsse, USB-Laufwerke, Tastaturanschläge und Mikrofonaufzeichnungen stehlen konnte.
Lesen Sie auch: Atomic macOS Malware: Stehlen von Passwörtern und Krypto-Geldbörsen
Die APT-Gruppe, die sich mit einem anderen Bedrohungscluster überschneidet, das als Bad Magic bekannt ist, zielt seit 2020 auf Regierungs-, Landwirtschafts- und Transportunternehmen in Donezk, Lugansk und auf der Krim. Die erste Operation fand im Dezember 2020 statt, wobei es Hinweise darauf gibt, dass die Gruppe mindestens seit September 2021 aktiv war. Die letzte aufgezeichnete Aktion der Organisation fand im September 2022 statt, dem Beginn der bewaffneten Invasion Russlands in der Ukraine.
Auf gehackten Computern wird das DBoxShell-Implantat (PowerMagic) mithilfe von gefälschten Installationsdateien in der Angriffskette abgelegt. Innerhalb eines ZIP-Pakets wird eine Windows-Verknüpfung verwendet, um die MSI-Datei herunterzuladen. Die Gruppe hat auch alternative Implantate wie GraphShell verwendet, die die Microsoft Graph API für Befehls- und Kontrollzwecke nutzt.
Die Bande verwendete Tools wie ngrok, rsockstun und eine Binärdatei, um die Daten der Opfer auf ein Dropbox-Konto unter der Kontrolle eines Akteurs zu stehlen. Obwohl das genaue Ausmaß der Infektionen nicht bekannt ist, gibt es Hinweise darauf, dass zwei Opfer, ein Militär und ein Beamter, der in wichtigen Einrichtungen arbeitet, im Februar 2022 in der Zentralukraine gehackt worden waren. Nach einer gewissen Zeit der Beobachtung stahlen die potenziellen Agenten in beiden Fällen Screenshots, Mikrofonaufnahmen und Büroakten.
Die Beweggründe für die Angriffe sind nach wie vor unbekannt, obwohl die Angreifer ihre Windows 10-Rechner im Dezember 2022 infizierten, wahrscheinlich zu Testzwecken. Die Wahl der Fahrenheit-Thermometerskala und Englisch als Hauptsprache zeigt, dass es sich um englische Muttersprachler handelte.
Nach Ansicht der Experten ist es schwierig, den Anschlag einer bestimmten Nation zuzuordnen, da einige Opfer Russland und andere die Ukraine unterstützten. Das Hauptziel des Angriffs war die Überwachung und Datenerfassung, und die Täter schützten ihre Opfer mit verschiedenen Verteidigungsmaßnahmen und mächtigen Instrumenten. Der Angriff richtete sich gegen bestimmte Einrichtungen.
0 Comments