گروه جدید APT Red Stinger زیرساخت های نظامی و حیاتی را در اروپای شرقی هدف قرار می دهد

یک بازیگر تهدید مداوم پیشرفته (APT) که قبلاً شناسایی نشده بود به نام Red Stinger از سال ۲۰۲۰ با حملاتی که اروپای شرقی را هدف قرار می دهد مرتبط است.

Malwarebytes در گزارشی که امروز منتشر شد فاش کرد: «نظامی، حمل‌ونقل و زیرساخت‌های حیاتی برخی از نهادهایی بودند که هدف قرار گرفتند و همچنین برخی از آنها در همه پرسی شرق اوکراین در سپتامبر شرکت داشتند.

بسته به کمپین، مهاجمان موفق شدند عکس‌های فوری، درایوهای USB، ضربه‌های صفحه کلید و ضبط‌های میکروفون را استخراج کنند.

Red Stinger با خوشه تهدیدی همپوشانی دارد که کسپرسکی تحت نام Bad Magic ماه گذشته نشان داد که سال گذشته سازمان‌های دولتی، کشاورزی و حمل‌ونقل مستقر در دونتسک، لوگانسک و کریمه را هدف قرار داده است.

در حالی که نشانه هایی وجود داشت که گروه APT ممکن است حداقل از سپتامبر ۲۰۲۱ فعال بوده باشد، آخرین یافته های Malwarebytes منشا این گروه را نزدیک به یک سال به عقب می اندازد و اولین عملیات در دسامبر ۲۰۲۰ انجام شد.

گفته می‌شود که در آن زمان زنجیره حمله از فایل‌های نصب کننده مخرب برای رها کردن ایمپلنت DBoxShell (معروف به PowerMagic) روی سیستم‌های در معرض خطر استفاده می‌ کرد. فایل MSI به نوبه خود با استفاده از یک فایل میانبر ویندوز موجود در یک آرشیو ZIP دانلود می شود.

امواج بعدی که در آوریل و سپتامبر ۲۰۲۱ شناسایی شدند، برای استفاده از زنجیره‌های حمله مشابه، البته با تغییرات جزئی در نام فایل‌های MSI، مشاهده شده‌اند.

مجموعه چهارم از حملات مصادف با شروع تهاجم نظامی روسیه به اوکراین در فوریه ۲۰۲۲ بود. آخرین فعالیت شناخته شده مرتبط با رد استینگر در سپتامبر ۲۰۲۲ انجام شد، همانطور که توسط کسپرسکی مستند شده است.

روبرتو سانتوس و حسین جزی، محققان امنیتی می‌گویند: «DBoxShell بدافزاری است که از سرویس‌های ذخیره‌سازی ابری به عنوان مکانیزم فرمان و کنترل (C&C) استفاده می‌کند.

این مرحله به عنوان یک نقطه ورود برای مهاجمان عمل می‌کند و آنها را قادر می‌سازد تا ارزیابی کنند که آیا اهداف جالب هستند یا نه، به این معنی که در این مرحله از ابزارهای مختلفی استفاده می‌کنند.

عملیات پنجم همچنین برای ارائه جایگزینی برای DBoxShell به نام GraphShell که به دلیل استفاده از Microsoft Graph API برای اهداف C&C به این نام خوانده می شود، قابل توجه است.

مرحله آلودگی اولیه توسط عامل تهدید با استفاده از مصنوعات اضافی مانند ngrok، rsocstun (یک ابزار تونل زنی معکوس)، و یک باینری برای استخراج داده های قربانی به یک حساب Dropbox تحت کنترل بازیگر دنبال می شود.

مقیاس دقیق عفونت‌ها مشخص نیست، اگرچه شواهد نشان می‌دهد که دو قربانی در مرکز اوکراین -یک هدف نظامی و یک افسر که در زیرساخت‌های حیاتی کار می‌کند- هستند که به عنوان بخشی از حملات فوریه ۲۰۲۲ در معرض خطر قرار گرفتند.

در هر دو مورد، عوامل تهدید پس از یک دوره شناسایی، اسکرین شات ها، میکروفون های ضبط شده و اسناد اداری را استخراج کردند. یکی از قربانیان نیز کلیدهای خود را ثبت و آپلود کرد.

از سوی دیگر، مجموعه نفوذ سپتامبر ۲۰۲۲ به دلیل این واقعیت قابل توجه است که عمدتاً مناطق همسو با روسیه، از جمله افسران و افراد درگیر در انتخابات را مشخص می کند. یکی از اهداف تجسسی داده های درایوهای USB خود را استخراج کرده بود.

Malwarebytes بیان کرد همچنین کتابخانه ای را در شهر وینیتسیا اوکراین شناسایی کرده است که به عنوان بخشی از همان کمپین آلوده شده است و آن را تنها نهاد مرتبط با اوکراین است که هدف قرار گرفته است. انگیزه ها در حال حاضر ناشناخته است.

در حالی که منشاء گروه تهدید یک راز است، مشخص شده است که عوامل تهدید در دسامبر ۲۰۲۲ به طور تصادفی یا برای مقاصد آزمایشی (با نام TstUser) توانستند دستگاه‌های ویندوز ۱۰ خود را آلوده کنند. شیوه کار آنها

دو چیز برجسته است: انتخاب زبان انگلیسی به عنوان زبان پیش فرض و استفاده از مقیاس دمای فارنهایت برای نمایش آب و هوا، که احتمالاً نشان دهنده دخالت انگلیسی زبانان بومی است.

محققان گفتند: در این مورد، نسبت دادن حمله به یک کشور خاص کار آسانی نیست. هر یک از کشورهای درگیر یا گروه های همسو می تواند مسئول باشد، زیرا برخی از قربانیان با روسیه و برخی دیگر با اوکراین همسو بودند."

"آنچه واضح است این است که انگیزه اصلی حمله، نظارت و جمع‌آوری داده‌ها بود. مهاجمان از لایه‌های مختلف حفاظتی استفاده می‌کردند، ابزار گسترده‌ای برای قربانیان خود داشتند و این حمله به وضوح متوجه نهادهای خاص بود."

خبرکاو