Actor d'amenaça de Star Blizzard
L'actor rus d'amenaces cibernètiques conegut com a Star Blizzard s'ha relacionat amb una nova campanya de pesca llança dirigida als comptes de WhatsApp de les víctimes. Això marca un canvi de les seves tàctiques habituals, probablement destinades a evadir la detecció i mantenir les seves operacions sota un escrutini més gran.
Taula de continguts
Objectius d’alt perfil en govern i diplomàcia
Star Blizzard s'adreça principalment a persones relacionades amb el govern i la diplomàcia, inclosos els funcionaris actuals i antics. També s'adreça a investigadors especialitzats en política de defensa i relacions internacionals, especialment aquells que treballen amb Rússia. Un altre grup clau en el punt de mira està format per persones i organitzacions que ajuden Ucraïna en el conflicte en curs amb Rússia.
The Infamous Star Blizzard: Una amenaça persistent
Coneguda anteriorment com SEABORGIUM, Star Blizzard té una llarga història d'activitats cibernètiques que es remunta almenys al 2012. Opera amb diversos àlies, com ara Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier. , TA446 i UNC4057. Aquest grup és conegut per les seves campanyes de recollida de credencials, que normalment s'executen a través de correus electrònics de pesca de llançament dissenyats per robar credencials d'inici de sessió sensibles.
Una història de tàctiques enganyoses
Star Blizzard ha utilitzat tradicionalment correus electrònics de pesca enviats des de comptes de ProtonMail, incrussant enllaços maliciosos als documents per atraure les víctimes perquè proporcionin credencials. Aquests atacs sovint utilitzen pàgines impulsades per Evilginx per evitar les mesures de seguretat de l'autenticació de dos factors (2FA) mitjançant una tècnica d'Adversary-in-The-Middle (AiTM). El grup també ha aprofitat plataformes de màrqueting per correu electrònic com HubSpot i MailerLite per ocultar els detalls del remitent i evitar els filtres de seguretat.
Pertorbacions i adaptacions
Els esforços per frenar les activitats de Star Blizzard van guanyar força a finals de l'any passat quan Microsoft i el Departament de Justícia (DoJ) dels Estats Units van confiscar més de 180 dominis vinculats al grup. Aquests dominis s'havien utilitzat activament per apuntar a periodistes, grups de reflexió i ONG entre gener de 2023 i agost de 2024. L'augment de l'exposició pública d'aquestes operacions pot haver obligat el grup a ajustar les seves tàctiques, donant lloc a la recent campanya centrada en WhatsApp.
Presentat el pla de pesca de WhatsApp
L'última campanya comença amb un correu electrònic de pesca amb lanza que es dissimula com un missatge d'un funcionari del govern dels EUA. Aquest enfocament enganyós afegeix credibilitat i augmenta la probabilitat de compromís de l'objectiu. El correu electrònic conté un codi QR que suposadament convida els destinataris a unir-se a un grup de WhatsApp dedicat a donar suport a les ONG d'Ucraïna. No obstant això, el codi s'ha trencat deliberadament, cosa que fa que la víctima respongui.
Un engany de diversos passos
En rebre una resposta, Star Blizzard envia un correu electrònic de seguiment demanant disculpes pel problema i proporcionant un enllaç reduït al grup de WhatsApp. Si feu clic a l'enllaç, l'objectiu es redirigeix a una pàgina web i li indica que escanegen un altre codi QR. Tanmateix, en comptes de concedir accés a un grup legítim, aquest codi QR és una trampa dissenyada per explotar la funció d'enllaç de comptes de WhatsApp, que permet als atacants accés no autoritzat a missatges i dades.
Aprofitant les funcions de WhatsApp
Les víctimes que segueixen les instruccions del lloc enganyós ('aerofluidthermo.org') sense saber-ho permeten que Star Blizzard s'infiltri als seus comptes de WhatsApp. Aquest mètode permet als atacants exfiltrar missatges i altres dades sensibles, potencialment mitjançant extensions del navegador.
Mesures cautelars per a persones en risc
Els que treballen en el govern, la diplomàcia, la política de defensa o les relacions internacionals, especialment aquells que tenen vincles amb Ucraïna, haurien de mantenir-se vigilants quan manipulen correus electrònics que contenen enllaços a fonts externes. Verificar l'autenticitat dels missatges inesperats abans de fer clic als enllaços o escanejar codis QR és crucial per evitar compromisos.
Una amenaça cibernètica persistent i en evolució
Aquesta darrera campanya posa de manifest l'adaptabilitat i la determinació de Star Blizzard per continuar amb les operacions de pesca amb lanza malgrat els repetits contratemps. En passar al phishing de WhatsApp, el grup demostra la seva capacitat per evolucionar les tàctiques, subratllant la necessitat contínua de conscienciació sobre la ciberseguretat i mesures de protecció entre les persones i organitzacions objectiu.
