Un actor de amenazas persistentes avanzadas (APT) previamente no detectado denominado aguijón rojo se ha relacionado con ataques dirigidos a Europa del Este desde 2020.
“Militares, transporte e infraestructura crítica fueron algunas de las entidades atacadas, así como algunas involucradas en el Referéndums de septiembre en el este de Ucrania“, reveló Malwarebytes en un informe publicado hoy.
“Dependiendo de la campaña, los atacantes lograron filtrar instantáneas, unidades USB, pulsaciones de teclado y grabaciones de micrófonos”.
Red Stinger se superpone con un grupo de amenazas que Kaspersky reveló bajo el nombre de Bad Magic el mes pasado como objetivo de organizaciones gubernamentales, agrícolas y de transporte ubicadas en Donetsk, Lugansk y Crimea el año pasado.
Si bien hubo indicios de que el grupo APT puede haber estado activo desde al menos septiembre de 2021, los últimos hallazgos de Malwarebytes retrasan los orígenes del grupo casi un año, y la primera operación tuvo lugar en diciembre de 2020.
Se dice que la cadena de ataque, en ese momento, aprovechó los archivos de instalación maliciosos para colocar el implante DBoxShell (también conocido como PowerMagic) en los sistemas comprometidos. El archivo MSI, por su parte, se descarga mediante un archivo de acceso directo de Windows contenido dentro de un archivo ZIP.
Se ha observado que las oleadas posteriores detectadas en abril y septiembre de 2021 aprovechan cadenas de ataque similares, aunque con variaciones menores en los nombres de los archivos MSI.
Un cuarto conjunto de ataques coincidió con el inicio de la invasión militar rusa de Ucrania en febrero de 2022. La última actividad conocida asociada con Red Stinger tuvo lugar en septiembre de 2022, según lo documentado por Kaspersky.
“DBoxShell es un malware que utiliza servicios de almacenamiento en la nube como un mecanismo de comando y control (C&C)”, dijeron los investigadores de seguridad Roberto Santos y Hossein Jazi.
“Esta etapa sirve como punto de entrada para los atacantes, permitiéndoles evaluar si los objetivos son interesantes o no, lo que significa que en esta fase utilizarán diferentes herramientas”.
La quinta operación también se destaca por ofrecer una alternativa a DBoxShell llamada GraphShell, que se llama así por su uso de la API de Microsoft Graph para propósitos de C&C.
La fase de infección inicial es seguida por el actor de amenazas que implementa artefactos adicionales como ngrok, rsockstun (una utilidad de tunelización inversa) y un binario para filtrar los datos de la víctima a una cuenta de Dropbox controlada por el actor.
La escala exacta de las infecciones no está clara, aunque la evidencia apunta a dos víctimas ubicadas en el centro de Ucrania, un objetivo militar y un oficial que trabaja en infraestructura crítica, que se vieron comprometidas como parte de los ataques de febrero de 2022.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
En ambos casos, los actores de amenazas extrajeron capturas de pantalla, grabaciones de micrófonos y documentos de oficina después de un período de reconocimiento. Una de las víctimas también registró y cargó sus pulsaciones de teclas.
El conjunto de intrusiones de septiembre de 2022, por otro lado, se destaca por el hecho de que destacó principalmente las regiones alineadas con Rusia, incluidos los funcionarios y las personas involucradas en las elecciones. A uno de los objetivos de vigilancia se le extrajeron datos de sus unidades USB.
Malwarebytes dijo que también identificó una biblioteca en la ciudad ucraniana de Vinnytsia que fue infectada como parte de la misma campaña, lo que la convierte en la única entidad relacionada con Ucrania en ser atacada. Las motivaciones son actualmente desconocidas.
Si bien los orígenes del grupo de amenazas son un misterio, surgió que los actores de amenazas lograron infectar sus propias máquinas con Windows 10 en algún momento de diciembre de 2022, ya sea accidentalmente o con fines de prueba (dado el nombre TstUser), ofreciendo una idea de su modus operandi.
Se destacan dos cosas: la elección del inglés como idioma predeterminado y el uso de la escala de temperatura Fahrenheit para mostrar el clima, lo que probablemente sugiere la participación de hablantes nativos de inglés.
“En este caso, atribuir el ataque a un país específico no es una tarea fácil”, dijeron los investigadores. “Cualquiera de los países involucrados o grupos alineados podría ser responsable, ya que algunas víctimas estaban alineadas con Rusia y otras estaban alineadas con Ucrania”.
“Lo que está claro es que el motivo principal del ataque fue la vigilancia y la recopilación de datos. Los atacantes utilizaron diferentes capas de protección, tenían un amplio conjunto de herramientas para sus víctimas y el ataque estaba claramente dirigido a entidades específicas”.