Novo Grupo APT Red Stinger mira Militares e Infraestrutura Crítica no Leste Europeu
12 de Maio de 2023

Um ator de advanced persistent threat (APT) anteriormente não detectado, apelidado de Red Stinger, foi vinculado a ataques direcionados ao leste da Europa desde 2020.

"Militares, transporte e infraestrutura crítica foram algumas das entidades visadas, bem como algumas envolvidas nos referendos do leste da Ucrânia em setembro", divulgou o Malwarebytes em um relatório publicado hoje.

"Dependendo da campanha, os atacantes conseguiram exfiltrar imagens, drives USB, teclas de teclado e gravações de microfone."

Red Stinger se sobrepõe a um grupo de ameaças que a Kaspersky revelou no mês passado sob o nome de Bad Magic, que visou organizações governamentais, agrícolas e de transporte localizadas em Donetsk, Lugansk e Crimeia no ano passado.

Embora houvesse indicações de que o grupo APT pode ter estado ativo desde pelo menos setembro de 2021, as últimas descobertas do Malwarebytes empurram as origens do grupo de volta quase um ano, com a primeira operação ocorrendo em dezembro de 2020.

A cadeia de ataque, ao longo dos anos, aproveitou arquivos de instalação maliciosos para deixar o implante DBoxShell (também conhecido como PowerMagic) em sistemas comprometidos.

O arquivo MSI, por sua vez, é baixado por meio de um arquivo de atalho do Windows contido em um arquivo ZIP.

Ondas subsequentes detectadas em abril e setembro de 2021 foram observadas aproveitando sequências de ataque semelhantes, embora com variações menores nos nomes de arquivo MSI.

Um quarto conjunto de ataques coincidiu com o início da invasão militar russa da Ucrânia em fevereiro de 2022.

A última atividade conhecida associada ao Red Stinger ocorreu em setembro de 2022, como documentado pela Kaspersky.

"DBoxShell é um malware que utiliza serviços de armazenamento em nuvem como mecanismo de comando e controle (C&C)", disseram os pesquisadores de segurança Roberto Santos e Hossein Jazi.

"Essa etapa serve como um ponto de entrada para os atacantes, permitindo que eles avaliem se os alvos são interessantes ou não, o que significa que nesta fase eles usarão diferentes ferramentas."

A quinta operação também é notável por fornecer uma alternativa ao DBoxShell chamada GraphShell, que recebeu esse nome por seu uso da API do Graph da Microsoft para fins de C&C.

A fase inicial de infecção é seguida pela implantação de artefatos adicionais como ngrok, rsockstun (um utilitário de túnel reverso) e um binário para exfiltrar dados da vítima para uma conta do Dropbox controlada pelo ator.

A escala exata das infecções não está clara, embora as evidências apontem para duas vítimas localizadas no centro da Ucrânia - um alvo militar e um oficial que trabalha em infraestrutura crítica - que foram comprometidos como parte dos ataques de fevereiro de 2022.

Em ambos os casos, os atores da ameaça exfiltraram capturas de tela, gravações de microfone e documentos de escritório após um período de reconhecimento.

Uma das vítimas também teve suas teclas de teclado registradas e carregadas.

A intrusão de setembro de 2022, por outro lado, é significativa pelo fato de ter visado principalmente regiões alinhadas com a Rússia, incluindo oficiais e indivíduos envolvidos em eleições.

Um dos alvos de vigilância teve dados de seus drives USB exfiltrados.

O Malwarebytes disse que também identificou uma biblioteca na cidade ucraniana de Vinnytsia que foi infectada como parte da mesma campanha, tornando-se a única entidade relacionada à Ucrânia a ser visada.

As motivações são desconhecidas no momento.

Embora as origens do grupo de ameaças sejam um mistério, foi descoberto que os atores da ameaça conseguiram infectar suas próprias máquinas Windows 10 em algum momento de dezembro de 2022, seja por acidente ou para fins de teste (dado o nome TstUser), oferecendo uma visão de seu modus operandi.

Duas coisas se destacam: a escolha do inglês como idioma padrão e o uso da escala de temperatura Fahrenheit para exibir o clima, sugerindo provavelmente o envolvimento de falantes nativos de inglês.

"Neste caso, atribuir o ataque a um país específico não é uma tarefa fácil", disseram os pesquisadores.

"Qualquer um dos países envolvidos ou grupos alinhados pode ser responsável, já que algumas vítimas estavam alinhadas com a Rússia e outras estavam alinhadas com a Ucrânia."

"O que está claro é que o principal motivo do ataque foi a vigilância e coleta de dados.

Os atacantes usaram diferentes camadas de proteção, tinham um conjunto extenso de ferramentas para suas vítimas e o ataque foi claramente direcionado a entidades específicas."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...