自2020年以来,一个名为Red Stinger的先前未被发现的高级持续威胁(APT)攻击者与针对东欧的攻击有关。
Malwarebytes在5月11日发布的一份报告中透露:“军事、交通和关键基础设施以及一些参与9月东乌克兰公投的实体是主要攻击目标,攻击者泄漏了快照、USB驱动器、键盘敲击和麦克风录音。”
Red Stinger与卡巴斯基上个月以Bad Magic名义披露的威胁集群重叠,该威胁集群去年针对位于顿涅茨克、卢甘斯克和克里米亚的政府、农业和交通组织。
虽然有迹象表明APT组织可能从2021年9月开始活跃,但Malwarebytes的最新发现将该组织的起源推前了一年,第一次行动发生在2020年12月。
多年来,攻击链利用恶意安装程序文件将DBoxShell植入程序植入到受感染的系统中。DBoxShell是一种利用云存储服务作为命令和控制(C&C)机制的恶意软件。
MSI文件本身是通过ZIP存档中包含的Windows快捷方式文件下载的。尽管文件名略有不同,但在2021年4月和2021年9月检测到的后续攻击波利用了类似的攻击序列。
第四组攻击恰逢俄罗斯于2022年2月对乌克兰发动军事行动。根据卡巴斯基的记录,与Red Stinger相关的最后一次已知活动发生在2022年9月。
攻击的确切规模尚不清楚,尽管有证据表明位于乌克兰中部的两名受害者——一名军事目标和一名在关键基础设施工作的军官——在2022年2月的袭击中受到了损害。
发表评论
您还未登录,请先登录。
登录