Star Blizzard Threat Actor

تم ربط شركة التهديدات الإلكترونية الروسية المعروفة باسم Star Blizzard بحملة تصيد جديدة تستهدف حسابات WhatsApp الخاصة بالضحايا. ويمثل هذا تحولاً عن تكتيكاتها المعتادة، والتي تهدف على الأرجح إلى التهرب من الكشف والحفاظ على عملياتها تحت التدقيق المتزايد.

أهداف رفيعة المستوى في الحكومة والدبلوماسية

تستهدف شركة Star Blizzard في المقام الأول الأفراد المرتبطين بالحكومة والدبلوماسية، بما في ذلك المسؤولون الحاليون والسابقون. كما تستهدف الباحثين المتخصصين في سياسة الدفاع والعلاقات الدولية، وخاصة أولئك الذين يتعلق عملهم بروسيا. وتتكون مجموعة رئيسية أخرى في مرمى نيرانها من الأفراد والمنظمات التي تساعد أوكرانيا في الصراع الدائر مع روسيا.

العاصفة الثلجية النجمية سيئة السمعة: تهديد مستمر

كانت مجموعة Star Blizzard، المعروفة سابقًا باسم SEABORGIUM، لديها تاريخ طويل من الأنشطة السيبرانية يعود تاريخه إلى عام 2012 على الأقل. وهي تعمل تحت أسماء مستعارة متعددة، بما في ذلك Blue Callisto وBlueCharlie (TAG-53) وCalisto وCOLDRIVER وDancing Salome وGossamer Bear وIron Frontier وTA446 وUNC4057. تشتهر هذه المجموعة بحملات جمع بيانات الاعتماد، والتي يتم تنفيذها عادةً من خلال رسائل البريد الإلكتروني الاحتيالية المصممة لسرقة بيانات اعتماد تسجيل الدخول الحساسة.

تاريخ من التكتيكات الخادعة

لقد اعتادت مجموعة Star Blizzard على استخدام رسائل البريد الإلكتروني الاحتيالية المرسلة من حسابات ProtonMail، حيث تقوم بتضمين روابط ضارة في المستندات لإغراء الضحايا بتقديم بيانات الاعتماد. وغالبًا ما تستخدم هذه الهجمات صفحات مدعومة بـ Evilginx لتجاوز تدابير أمان المصادقة الثنائية (2FA) من خلال تقنية Adversary-in-The-Middle (AiTM). كما استفادت المجموعة من منصات التسويق عبر البريد الإلكتروني مثل HubSpot وMailerLite لإخفاء تفاصيل المرسل وتجاوز مرشحات الأمان.

الاضطرابات والتكيفات

اكتسبت الجهود الرامية إلى الحد من أنشطة ستار بليزارد زخمًا في أواخر العام الماضي عندما صادرت مايكروسوفت ووزارة العدل الأمريكية أكثر من 180 نطاقًا مرتبطًا بالمجموعة. وقد تم استخدام هذه النطاقات بنشاط لاستهداف الصحفيين ومراكز الأبحاث والمنظمات غير الحكومية بين يناير 2023 وأغسطس 2024. ربما أجبر التعرض العام المتزايد لهذه العمليات المجموعة على تعديل تكتيكاتها، مما أدى إلى الحملة الأخيرة التي ركزت على WhatsApp.

كشف مخطط التصيد الاحتيالي عبر تطبيق WhatsApp

تبدأ الحملة الأخيرة برسالة بريد إلكتروني احتيالية متخفية في صورة رسالة من مسؤول حكومي أمريكي. ويضيف هذا النهج الخادع مصداقية ويزيد من احتمالية تفاعل الهدف. تحتوي الرسالة الإلكترونية على رمز الاستجابة السريعة، الذي يُزعم أنه يدعو المتلقين للانضمام إلى مجموعة WhatsApp مخصصة لدعم المنظمات غير الحكومية في أوكرانيا. ومع ذلك، يتم كسر الرمز عمدًا، مما يدفع الضحية إلى الرد.

خداع متعدد الخطوات

عند تلقي رد، ترسل شركة Star Blizzard بريدًا إلكترونيًا متابعة تعتذر فيه عن المشكلة وتوفر رابطًا مختصرًا لمجموعة WhatsApp. يؤدي النقر فوق الرابط إلى إعادة توجيه الهدف إلى صفحة ويب تطلب منه مسح رمز QR آخر. ومع ذلك، بدلاً من منح حق الوصول إلى مجموعة شرعية، فإن رمز QR هذا عبارة عن فخ مصمم لاستغلال ميزة ربط الحسابات في WhatsApp، مما يمنح المهاجمين حق الوصول غير المصرح به إلى الرسائل والبيانات.

استغلال مميزات الواتس اب

إن الضحايا الذين يتبعون التعليمات الموجودة على الموقع المخادع (aerofluidthermo.org) يسمحون دون علم لشركة Star Blizzard بالتسلل إلى حسابات WhatsApp الخاصة بهم. تتيح هذه الطريقة للمهاجمين استخراج الرسائل والبيانات الحساسة الأخرى، ربما عبر ملحقات المتصفح.

الإجراءات الاحترازية للأفراد المعرضين للخطر

يتعين على العاملين في الحكومة أو الدبلوماسية أو السياسة الدفاعية أو العلاقات الدولية ــ وخاصة أولئك الذين تربطهم علاقات بأوكرانيا ــ أن يظلوا يقظين عند التعامل مع رسائل البريد الإلكتروني التي تحتوي على روابط لمصادر خارجية. والتحقق من صحة الرسائل غير المتوقعة قبل النقر على الروابط أو مسح رموز الاستجابة السريعة أمر بالغ الأهمية لتجنب الاختراق.

تهديد سيبراني مستمر ومتطور

تسلط هذه الحملة الأخيرة الضوء على قدرة شركة Star Blizzard على التكيف وتصميمها على مواصلة عمليات التصيد الاحتيالي على الرغم من الانتكاسات المتكررة. ومن خلال التحول إلى التصيد الاحتيالي عبر WhatsApp، تثبت المجموعة قدرتها على تطوير التكتيكات، مما يؤكد الحاجة المستمرة إلى الوعي بالأمن السيبراني والتدابير الوقائية بين الأفراد والمؤسسات المستهدفة.