Red Stinger：乌克兰的高级持续性威胁

重点摘要

• 攻击背景 ：Red Stinger（也称为Bad Magic）是一个神秘的组织，自2020年至2022年间针对乌克兰的多次高级持续性威胁攻击。
• 攻击目标 ：主要针对乌克兰的军事、交通和关键基础设施，同时涉及前东乌克兰公投的相关组织。
• 攻击手法 ：使用恶意安装文件和云存储服务进行攻击，实现数据窃取，包括截图、按键记录和麦克风录音。
• 组别归属不明确 ：由于攻击对象的多样性，研究人员无法确定该组织的国别归属。

最近，Malwarebytes发布了一篇，详细介绍了他们归因于同一组行为者——RedStinger的攻击。根据Kaspersky的最新报告，这个组织正是去年对顿涅茨克、卢甘斯克和克里米亚的政府、农业和交通相关机构进行攻击的幕后黑手，Kaspersky将其称为。

攻击历史与目标

Malwarebytes的研究显示，Red Stinger/BadMagic的攻击可以追溯到2020年，其目标不仅仅限于顿涅茨克、卢甘斯克和克里米亚地区（后者于2014年被俄罗斯吞并）。博客中提到：

“军事、交通和关键基础设施是一些被攻击的目标，同时还有参与了2022年9月东乌克兰公投的相关组织。”

攻击者利用不同的恶意工具，成功窃取了快照、USB驱动器的数据、按键记录和麦克风录音等信息。

由于攻击手法和目标的多样性，研究者表示很难将Red Stinger归属于特定国家。他们认为：

“任何参与俄罗斯/乌克兰战争的国家或相关群体都有可能负责，因为一些受害者与俄罗斯有关联，而另一些则与乌克兰有关。”

引人深思的多样性

发生在去年9月的一个例子进一步证明了RedStinger攻击目标的多样性。当时，俄罗斯在卢甘斯克、顿涅茨克、扎波罗热和赫尔松等地区进行公投，尝试为其占领寻求支持。该组织针对了一些参与俄罗斯公投的选举官员，但在同一次行动中，也对位于文尼察市的一家乌克兰图书馆进行了攻击。

研究人员指出：

“攻击的主要动机显然是为了监视和数据收集，攻击者使用了不同层次的保护措施，拥有广泛的工具集，且攻击明显针对特定实体。”

他们还提到，未来可能会有新的事件或该组织的更多活动有助于揭示其动机。

攻击工具与方法

研究者发现，RedStinger在某些时候甚至感染了自己的计算机。目前尚不清楚这是否是失误还是进行测试所致，不过，该组织使用TstSCR和TstVM来标识其两个受害者，似乎暗示所采取的行动是测试行为。

RedStinger的攻击流程包括利用恶意安装程序激活DBoxShell——一种利用云存储服务作为指挥和控制机制的恶意软件，潜伏于受侵害的Windows计算机上。

整体流程如下：

研究人员指出，Red Stinger的攻击及数据窃取阶段可能持续几个月之久。他们表示：

“这阶段为攻击者评估目标的有趣程度提供了机会，意味着在此阶段他们会使用不同的工具。”

总之，Red Stinger的活动不仅彰显了高级持续性威胁的复杂性，也提醒我们关注这些未来可能演变成更大威胁的攻击者。