{"id":729404,"date":"2023-05-11T14:50:26","date_gmt":"2023-05-11T16:50:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-groupe-apt-red-stinger-cible-les-infrastructures-militaires-et-critiques-en-europe-de-lest\/"},"modified":"2023-05-11T14:50:29","modified_gmt":"2023-05-11T16:50:29","slug":"le-nouveau-groupe-apt-red-stinger-cible-les-infrastructures-militaires-et-critiques-en-europe-de-lest","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-groupe-apt-red-stinger-cible-les-infrastructures-militaires-et-critiques-en-europe-de-lest\/","title":{"rendered":"Le nouveau groupe APT Red Stinger cible les infrastructures militaires et critiques en Europe de l’Est"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Un acteur de menace persistante avanc\u00e9e (APT) non d\u00e9tect\u00e9 auparavant surnomm\u00e9 Dard rouge<\/strong> est li\u00e9e \u00e0 des attaques visant l’Europe de l’Est depuis 2020.<\/p>\n

“L’arm\u00e9e, les transports et les infrastructures critiques \u00e9taient quelques-unes des entit\u00e9s cibl\u00e9es, ainsi que certaines impliqu\u00e9es dans le R\u00e9f\u00e9rendums de septembre en Ukraine orientale<\/a>“, Malwarebytes a r\u00e9v\u00e9l\u00e9 dans un rapport<\/a> publi\u00e9 aujourd’hui.<\/p>\n

“Selon la campagne, les attaquants ont r\u00e9ussi \u00e0 exfiltrer des instantan\u00e9s, des cl\u00e9s USB, des frappes au clavier et des enregistrements de microphone.”<\/p>\n

Red Stinger chevauche un cluster de menaces que Kaspersky a r\u00e9v\u00e9l\u00e9 sous le nom de Bad Magic le mois dernier comme ayant cibl\u00e9 des organisations gouvernementales, agricoles et de transport situ\u00e9es \u00e0 Donetsk, Lugansk et Crim\u00e9e l’ann\u00e9e derni\u00e8re.<\/p>\n

\"La<\/a><\/center><\/div>\n

Bien qu’il y ait des indications que le groupe APT pourrait \u00eatre actif depuis au moins septembre 2021, les derni\u00e8res d\u00e9couvertes de Malwarebytes repoussent les origines du groupe de pr\u00e8s d’un an, la premi\u00e8re op\u00e9ration ayant eu lieu en d\u00e9cembre 2020.<\/p>\n

La cha\u00eene d’attaque, \u00e0 l’\u00e9poque, aurait exploit\u00e9 des fichiers d’installation malveillants pour d\u00e9poser l’implant DBoxShell (alias PowerMagic) sur des syst\u00e8mes compromis. Le fichier MSI, quant \u00e0 lui, est t\u00e9l\u00e9charg\u00e9 au moyen d’un fichier de raccourci Windows contenu dans une archive ZIP.<\/p>\n

Il a \u00e9t\u00e9 observ\u00e9 que des vagues ult\u00e9rieures d\u00e9tect\u00e9es en avril et septembre 2021 exploitaient des cha\u00eenes d’attaque similaires, mais avec des variations mineures dans les noms de fichiers MSI.<\/p>\n

Une quatri\u00e8me s\u00e9rie d’attaques a co\u00efncid\u00e9 avec le d\u00e9but de l’invasion militaire russe de l’Ukraine en f\u00e9vrier 2022. La derni\u00e8re activit\u00e9 connue associ\u00e9e \u00e0 Red Stinger a eu lieu en septembre 2022, comme l’a document\u00e9 Kaspersky.<\/p>\n

“DBoxShell est un logiciel malveillant qui utilise les services de stockage en nuage comme m\u00e9canisme de commande et de contr\u00f4le (C&C)”, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Roberto Santos et Hossein Jazi.<\/p>\n

\"Dard<\/div>\n

“Cette \u00e9tape sert de point d’entr\u00e9e pour les attaquants, leur permettant d’\u00e9valuer si les cibles sont int\u00e9ressantes ou non, ce qui signifie que dans cette phase, ils utiliseront diff\u00e9rents outils.”<\/p>\n

La cinqui\u00e8me op\u00e9ration est \u00e9galement remarquable pour fournir une alternative \u00e0 DBoxShell appel\u00e9e GraphShell, ainsi nomm\u00e9e pour son utilisation de l’API Microsoft Graph \u00e0 des fins C&C.<\/p>\n

La phase d’infection initiale est suivie par l’acteur de la menace qui d\u00e9ploie des artefacts suppl\u00e9mentaires tels que ngrok<\/a>, rsockstun<\/a> (un utilitaire de tunnellisation invers\u00e9e) et un binaire pour exfiltrer les donn\u00e9es des victimes vers un compte Dropbox contr\u00f4l\u00e9 par un acteur.<\/p>\n

L’ampleur exacte des infections n’est pas claire, bien que les preuves indiquent deux victimes situ\u00e9es dans le centre de l’Ukraine \u2013 une cible militaire et un officier travaillant dans des infrastructures critiques \u2013 qui ont \u00e9t\u00e9 compromises dans le cadre des attaques de f\u00e9vrier 2022.<\/p>\n

WEBINAIRE \u00c0 VENIR<\/span><\/p>\n

Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n

Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n

Sauvez ma place\u00a0!<\/a><\/div>\n

Dans les deux cas, les acteurs de la menace ont exfiltr\u00e9 des captures d’\u00e9cran, des enregistrements de microphone et des documents de bureau apr\u00e8s une p\u00e9riode de reconnaissance. L’une des victimes a \u00e9galement enregistr\u00e9 et t\u00e9l\u00e9charg\u00e9 ses frappes au clavier.<\/p>\n

L’ensemble d’intrusions de septembre 2022, en revanche, se distingue par le fait qu’il a principalement cibl\u00e9 les r\u00e9gions align\u00e9es sur la Russie, y compris les officiers et les individus impliqu\u00e9s dans les \u00e9lections. L’une des cibles de la surveillance s’est fait exfiltrer les donn\u00e9es de ses cl\u00e9s USB.<\/p>\n

Malwarebytes a d\u00e9clar\u00e9 avoir \u00e9galement identifi\u00e9 une biblioth\u00e8que dans la ville ukrainienne de Vinnytsia qui a \u00e9t\u00e9 infect\u00e9e dans le cadre de la m\u00eame campagne, ce qui en fait la seule entit\u00e9 li\u00e9e \u00e0 l’Ukraine \u00e0 \u00eatre cibl\u00e9e. Les motivations sont actuellement inconnues.<\/p>\n

Alors que les origines du groupe de menaces sont un myst\u00e8re, il est apparu que les acteurs de la menace ont r\u00e9ussi \u00e0 infecter leurs propres machines Windows 10 \u00e0 un moment donn\u00e9 en d\u00e9cembre 2022, soit accidentellement, soit \u00e0 des fins de test (\u00e9tant donn\u00e9 le nom de TstUser), offrant un aper\u00e7u de leur modus operandi.<\/p>\n

Deux choses ressortent : le choix de l’anglais comme langue par d\u00e9faut et l’utilisation de l’\u00e9chelle de temp\u00e9rature Fahrenheit pour afficher la m\u00e9t\u00e9o, sugg\u00e9rant probablement l’implication d’anglophones natifs.<\/p>\n

“Dans ce cas, attribuer l’attaque \u00e0 un pays sp\u00e9cifique n’est pas une t\u00e2che facile”, ont d\u00e9clar\u00e9 les chercheurs. “N’importe lequel des pays ou groupes align\u00e9s impliqu\u00e9s pourrait \u00eatre responsable, car certaines victimes \u00e9taient align\u00e9es sur la Russie et d’autres sur l’Ukraine.”<\/p>\n

“Ce qui est clair, c’est que le motif principal de l’attaque \u00e9tait la surveillance et la collecte de donn\u00e9es. Les attaquants ont utilis\u00e9 diff\u00e9rentes couches de protection, disposaient d’un ensemble d’outils complet pour leurs victimes et l’attaque visait clairement des entit\u00e9s sp\u00e9cifiques.”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n