12/05/23
Специалисты по кибербезопасности Malwarebytes обнаружили новую APT-группу, которая с 2020 года проводит шпионские атаки на восточную Европу. Группа получила название Red Stinger и специализируется на длительном нахождении в системах своих жертв, пишет Securitylab.
По данным Malwarebytes, среди целей – военные, транспортные и критические инфраструктуры, а также некоторые участники сентябрьских референдумов на Донбассе 2022 года. Согласно отчёту Malwarebytes, в зависимости от кампании, злоумышленники выкачивают скриншоты, данные с USB-накопителей, регистрируют нажатия клавиш и включают запись с микрофона.
Red Stinger имеет пересечения с вредоносным ПО CommonMagic и PowerMagic, которые используются в атаках на правительственные, сельскохозяйственные и транспортные организации в Донецке, Луганске и Крыму с 2021 года.
По словам экспертов Malwarebytes, первая операция Red Stinger состоялась в декабре 2020 года. С тех пор хакеры использовали различные инструменты для заражения своих жертв. Один из них - DBoxShell (или PowerMagic) — это вредоносная программа, которая использует облачные сервисы для управления заражёнными системами.
Этот этап служит точкой входа для хакеров, позволяя им оценить, насколько ценна потенциальная жертва – на этом этапе злоумышленники будут использовать разные инструменты. В последней обнаруженной кампании хакеры также использовали альтернативу DBoxShell под названием GraphShell, которая использует Microsoft Graph API для связи с сервером управления и контроля (C2, C&C).
/8q32t4nyk53amf5204jlebnystynqpdd.png?width=540&height=349&name=8q32t4nyk53amf5204jlebnystynqpdd.png)
После первичного заражения хакеры развёртывают дополнительные компоненты, такие как «ngrok», «rsockstun» (утилита для обратного туннелирования) и бинарный файл для выгрузки данных жертв на аккаунт Dropbox злоумышленников.
Точный масштаб заражений неизвестен, хотя есть свидетельства того, что две жертвы из центральной Украины - военная цель и сотрудник организации критической инфраструктуры - были скомпрометированы в феврале 2022 года. В обоих случаях злоумышленники выкачивали скриншоты, записи с микрофона и офисные документы после этапа разведки.
Атаки на участников референдумов в Донбассе в сентябре 2022 года были нацелены на должностных лиц и лиц, участвующих в выборах. У одной из жертв хакеры похитили конфиденциальные данные с USB-накопителя.
По данным Malwarebytes, в ходе кампании также была атакована библиотека в украинском городе Винница. Это единственная украинская организация, которая была атакована. Мотивы пока неизвестны.
Происхождение группы хакеров остаётся загадкой, хотя выяснилось, что злоумышленники заразили свои собственные компьютеры с Windows 10 в декабре 2022 года, либо случайно, либо для тестирования (судя по имени TstUser), что дало представление об их методах работы.
На данный момент очень сложно приписать кампанию конкретной стране, так как в атаках может быть заинтересована любая страна, поскольку жертвы есть как в России, так и в Украине. Однако выделяются два признака: выбор английского языка по умолчанию в программах и использование шкалы температур Фаренгейта для отображения погоды, что может свидетельствовать о причастности носителей английского языка.
Ясно только то, что основной мотив атаки был слежка и сбор данных. Атакующие использовали разные уровни защиты, имели обширный набор инструментов для своих жертв, и атака была явно нацелена на конкретные объекты.
