Star Blizzard Threat Актьор
Руският актьор в киберзаплахите, известен като Star Blizzard, е свързан с нова фишинг кампания, насочена към акаунтите на жертвите в WhatsApp. Това бележи промяна от обичайната му тактика, вероятно насочена към избягване на откриване и поддържане на операциите му под засилено наблюдение.
Съдържание
Високопоставени цели в правителството и дипломацията
Star Blizzard е насочен предимно към лица, свързани с правителството и дипломацията, включително настоящи и бивши служители. Той също така е насочен към изследователи, специализирани в отбранителната политика и международните отношения, особено тези, чиято работа включва Русия. Друга ключова група в прицела се състои от лица и организации, които помагат на Украйна в продължаващия конфликт с Русия.
Скандалната звездна виелица: постоянна заплаха
По-рано известна като SEABORGIUM, Star Blizzard има дълга история на кибернетични дейности, датираща поне от 2012 г. Работи под множество псевдоними, включително Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 и UNC4057. Тази група е известна със своите кампании за събиране на идентификационни данни, обикновено изпълнявани чрез фишинг имейли, предназначени да откраднат чувствителни идентификационни данни за вход.
История на измамните тактики
Star Blizzard традиционно използва фишинг имейли, изпратени от акаунти на ProtonMail, вграждайки злонамерени връзки в документи, за да примами жертвите да предоставят идентификационни данни. Тези атаки често използват задвижвани от Evilginx страници, за да заобиколят мерките за сигурност с двуфакторно удостоверяване (2FA) чрез техниката Adversary-in-The-Middle (AiTM). Групата също е използвала платформи за имейл маркетинг като HubSpot и MailerLite, за да скрие данните за изпращача и да заобиколи филтрите за сигурност.
Прекъсвания и адаптации
Усилията за ограничаване на дейностите на Star Blizzard придобиха сила в края на миналата година, когато Microsoft и Министерството на правосъдието на САЩ (DoJ) конфискуваха над 180 домейна, свързани с групата. Тези домейни са били използвани активно за насочване към журналисти, мозъчни тръстове и неправителствени организации между януари 2023 г. и август 2024 г. Повишеното публично излагане на тези операции може да е принудило групата да коригира тактиката си, което е довело до неотдавнашната кампания, фокусирана върху WhatsApp.
Схемата за фишинг на WhatsApp е разкрита
Последната кампания започва с фишинг имейл, маскиран като съобщение от служител на правителството на САЩ. Този измамен подход добавя доверие и увеличава вероятността за ангажиране от страна на целта. Имейлът съдържа QR код, за който се твърди, че кани получателите да се присъединят към група в WhatsApp, посветена на подкрепата на неправителствени организации в Украйна. Кодът обаче е умишлено разбит, което кара жертвата да реагира.
Многоетапна измама
При получаване на отговор Star Blizzard изпраща последващ имейл, в който се извинява за проблема и предоставя съвсем съкратена връзка към групата WhatsApp. Щракването върху връзката пренасочва целта към уеб страница, която ги инструктира да сканират друг QR код. Въпреки това, вместо да предоставя достъп на легитимна група, този QR код е капан, предназначен да използва функцията за свързване на акаунти на WhatsApp, предоставяйки на нападателите неоторизиран достъп до съобщения и данни.
Използване на функциите на WhatsApp
Жертвите, които следват инструкциите на измамния сайт („aerofluidthermo.org“), несъзнателно позволяват на Star Blizzard да проникне в акаунтите им в WhatsApp. Този метод позволява на нападателите да ексфилтрират съобщения и други чувствителни данни, потенциално чрез разширения на браузъра.
Предпазни мерки за лица в риск
Тези, които работят в правителството, дипломацията, политиката на отбраната или международните отношения - особено тези, които имат връзки с Украйна - трябва да останат бдителни, когато работят с имейли, съдържащи връзки към външни източници. Проверката на автентичността на неочаквани съобщения преди щракване върху връзки или сканиране на QR кодове е от решаващо значение за избягване на компрометиране.
Постоянна и развиваща се киберзаплаха
Тази последна кампания подчертава адаптивността и решимостта на Star Blizzard да продължи фишинг операциите въпреки повтарящите се неуспехи. Преминавайки към фишинг в WhatsApp, групата демонстрира способността си да развива тактики, подчертавайки продължаващата нужда от осведоменост за киберсигурността и защитни мерки сред целевите лица и организации.
