Новая группа Red Stinger крадёт данные политиков в Донбассе и из военной инфраструктуры Восточной Европы

Новая группа Red Stinger крадёт данные политиков в Донбассе и из военной инфраструктуры Восточной Европы

Хакеры выкачивают скриншоты, записи с микрофона и офисные документы после этапа разведки.

image

Специалисты по кибербезопасности Malwarebytes обнаружили новую APT-группу, которая с 2020 года проводит шпионские атаки на восточную Европу. Группа получила название Red Stinger и специализируется на длительном нахождении в системах своих жертв.

По данным Malwarebytes, среди целей – военные, транспортные и критические инфраструктуры, а также некоторые участники сентябрьских референдумов в Донбассе 2022 года. Согласно отчёту Malwarebytes, в зависимости от кампании, злоумышленники выкачивают скриншоты, данные с USB-накопителей, регистрируют нажатия клавиш и включают запись с микрофона.

Red Stinger имеет пересечения с вредоносным ПО CommonMagic и PowerMagic, которые используются в атаках на правительственные, сельскохозяйственные и транспортные организации в Донецке, Луганске и Крыму с 2021 года.

По словам экспертов Malwarebytes, первая операция Red Stinger состоялась в декабре 2020 года. С тех пор хакеры использовали различные инструменты для заражения своих жертв. Один из них - DBoxShell (или PowerMagic) — это вредоносная программа, которая использует облачные сервисы для управления заражёнными системами.

Этот этап служит точкой входа для хакеров, позволяя им оценить, насколько ценна потенциальная жертва – на этом этапе злоумышленники будут использовать разные инструменты. В последней обнаруженной кампании хакеры также использовали альтернативу DBoxShell под названием GraphShell, которая использует Microsoft Graph API для связи с сервером управления и контроля (C2, C&C).

Цепочка атак Red Stinger

После первичного заражения хакеры развёртывают дополнительные компоненты, такие как «ngrok», «rsockstun» (утилита для обратного туннелирования) и бинарный файл для выгрузки данных жертв на аккаунт Dropbox злоумышленников.

Точный масштаб заражений неизвестен, хотя есть свидетельства того, что две жертвы из центральной Украины - военная цель и сотрудник организации критической инфраструктуры - были скомпрометированы в феврале 2022 года. В обоих случаях злоумышленники выкачивали скриншоты, записи с микрофона и офисные документы после этапа разведки.

Атаки на участников референдумов в Донбассе в сентябре 2022 года были нацелены на должностных лиц и лиц, участвующих в выборах. У одной из жертв хакеры похитили конфиденциальные данные с USB-накопителя.

По данным Malwarebytes, в ходе кампании также была атакована библиотека в украинском городе Винница. Это единственная украинская организация, которая была атакована. Мотивы пока неизвестны.

Происхождение группы хакеров остаётся загадкой, хотя выяснилось, что злоумышленники заразили свои собственные компьютеры с Windows 10 в декабре 2022 года, либо случайно, либо для тестирования (судя по имени TstUser), что дало представление об их методах работы.

На данный момент очень сложно приписать кампанию конкретной стране, так как в атаках может быть заинтересована любая страна, поскольку жертвы есть как в России, так и в Украине. Однако выделяются два признака: выбор английского языка по умолчанию в программах и использование шкалы температур Фаренгейта для отображения погоды, что может свидетельствовать о причастности носителей английского языка.

Ясно только то, что основной мотив атаки был слежка и сбор данных. Атакующие использовали разные уровни защиты, имели обширный набор инструментов для своих жертв, и атака была явно нацелена на конкретные объекты.

Теория струн? У нас целый оркестр научных фактов!

От классики до авангарда — наука во всех жанрах

Настройтесь на нашу волну — подпишитесь