“Red Stinger APT-Gruppe zielt auf Militär und kritische Infrastruktur in Osteuropa”

Reading Time: ( Word Count: )

May 11, 2023
Nextdoorsec-course

Seit Dezember 2020 ist ein als Red Stinger bekanntes Cyber-Angreifer-Kollektiv für mehrere hochentwickelte, fortlaufende Angriffe auf osteuropäische Militär-, Schifffahrts- und wichtige Infrastrukturziele verantwortlich. Malwarebytes, ein Cybersicherheitsunternehmen, hat aufgedeckt, dass Red Stinger auf Einrichtungen abzielte, die an den Referenden in der Ostukraine im September beteiligt waren, und je nach Kampagne sensible Daten wie Schnappschüsse, USB-Laufwerke, Tastaturanschläge und Mikrofonaufzeichnungen stehlen konnte.

Lesen Sie auch: Atomic macOS Malware: Stehlen von Passwörtern und Krypto-Geldbörsen

Die APT-Gruppe, die sich mit einem anderen Bedrohungscluster überschneidet, das als Bad Magic bekannt ist, zielt seit 2020 auf Regierungs-, Landwirtschafts- und Transportunternehmen in Donezk, Lugansk und auf der Krim. Die erste Operation fand im Dezember 2020 statt, wobei es Hinweise darauf gibt, dass die Gruppe mindestens seit September 2021 aktiv war. Die letzte aufgezeichnete Aktion der Organisation fand im September 2022 statt, dem Beginn der bewaffneten Invasion Russlands in der Ukraine.

Auf gehackten Computern wird das DBoxShell-Implantat (PowerMagic) mithilfe von gefälschten Installationsdateien in der Angriffskette abgelegt. Innerhalb eines ZIP-Pakets wird eine Windows-Verknüpfung verwendet, um die MSI-Datei herunterzuladen. Die Gruppe hat auch alternative Implantate wie GraphShell verwendet, die die Microsoft Graph API für Befehls- und Kontrollzwecke nutzt.

Red Stinger

Die Bande verwendete Tools wie ngrok, rsockstun und eine Binärdatei, um die Daten der Opfer auf ein Dropbox-Konto unter der Kontrolle eines Akteurs zu stehlen. Obwohl das genaue Ausmaß der Infektionen nicht bekannt ist, gibt es Hinweise darauf, dass zwei Opfer, ein Militär und ein Beamter, der in wichtigen Einrichtungen arbeitet, im Februar 2022 in der Zentralukraine gehackt worden waren. Nach einer gewissen Zeit der Beobachtung stahlen die potenziellen Agenten in beiden Fällen Screenshots, Mikrofonaufnahmen und Büroakten.

Die Beweggründe für die Angriffe sind nach wie vor unbekannt, obwohl die Angreifer ihre Windows 10-Rechner im Dezember 2022 infizierten, wahrscheinlich zu Testzwecken. Die Wahl der Fahrenheit-Thermometerskala und Englisch als Hauptsprache zeigt, dass es sich um englische Muttersprachler handelte.

Nach Ansicht der Experten ist es schwierig, den Anschlag einer bestimmten Nation zuzuordnen, da einige Opfer Russland und andere die Ukraine unterstützten. Das Hauptziel des Angriffs war die Überwachung und Datenerfassung, und die Täter schützten ihre Opfer mit verschiedenen Verteidigungsmaßnahmen und mächtigen Instrumenten. Der Angriff richtete sich gegen bestimmte Einrichtungen.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Top Security Practices to Protect Your Data in Cloud Services

Top Security Practices to Protect Your Data in Cloud Services

Cloud services make storing and accessing your data simple and flexible, but they also bring new security ...
Boosting Efficiency With Law Firm IT Solutions: A Guide for Small Practices

Boosting Efficiency With Law Firm IT Solutions: A Guide for Small Practices

Small law firms often juggle multiple responsibilities with limited resources, making efficiency a top priority. ...
Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *