Star Blizzard Threat herec
Ruský aktér kybernetických hrozeb známý jako Star Blizzard byl spojen s novou spear-phishingovou kampaní zaměřenou na účty WhatsApp obětí. To znamená posun od jeho obvyklé taktiky, pravděpodobně zaměřené na vyhýbání se detekci a udržování svých operací pod zvýšeným dohledem.
Obsah
Vysoké cíle ve vládě a diplomacii
Star Blizzard se primárně zaměřuje na jednotlivce spojené s vládou a diplomacií, včetně současných a bývalých úředníků. Zaměřuje se také na výzkumníky specializující se na obrannou politiku a mezinárodní vztahy, zejména na ty, jejichž práce zahrnuje Rusko. Další klíčovou skupinu v jejím hledáčku tvoří jednotlivci a organizace pomáhající Ukrajině v pokračujícím konfliktu s Ruskem.
Neslavná hvězdná vánice: Trvalá hrozba
Star Blizzard, dříve známý jako SEABORGIUM, má dlouhou historii kybernetických aktivit sahající minimálně do roku 2012. Působí pod různými přezdívkami, včetně Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 a UNC4057. Tato skupina je proslulá svými kampaněmi na shromažďování pověření, které se obvykle provádějí prostřednictvím e-mailů typu spear-phishing, jejichž cílem je ukrást citlivé přihlašovací údaje.
Historie klamavé taktiky
Star Blizzard tradičně používá phishingové e-maily odesílané z účtů ProtonMail a vkládá do dokumentů škodlivé odkazy, aby nalákal oběti k poskytnutí přihlašovacích údajů. Tyto útoky často využívají stránky poháněné Evilginxem k obcházení bezpečnostních opatření dvoufaktorové autentizace (2FA) prostřednictvím techniky Adversary-in-The-Middle (AiTM). Skupina také využila e-mailové marketingové platformy, jako je HubSpot a MailerLite, aby zakryla podrobnosti o odesílateli a obešla bezpečnostní filtry.
Narušení a adaptace
Snahy o omezení aktivit Star Blizzard nabraly na síle koncem loňského roku, kdy Microsoft a americké ministerstvo spravedlnosti (DoJ) zabavily více než 180 domén spojených s touto skupinou. Tyto domény byly aktivně využívány k zacílení na novináře, think-tanky a nevládní organizace v období od ledna 2023 do srpna 2024. Zvýšená veřejná expozice těchto operací mohla skupinu donutit upravit svou taktiku, což vedlo k nedávné kampani zaměřené na WhatsApp.
Bylo odhaleno schéma phishingu WhatsApp
Nejnovější kampaň začíná spear-phishingovým e-mailem vydávajícím se za zprávu od amerického vládního úředníka. Tento klamný přístup dodává důvěryhodnost a zvyšuje pravděpodobnost zapojení cíle. E-mail obsahuje QR kód, který údajně vyzývá příjemce, aby se připojili ke skupině WhatsApp věnované podpoře ukrajinských nevládních organizací. Kód je však úmyslně prolomen a oběť tak musí reagovat.
Vícestupňový podvod
Po obdržení odpovědi Star Blizzard odešle následný e-mail s omluvou za problém a poskytnutím zkráceného odkazu na skupinu WhatsApp. Kliknutí na odkaz přesměruje cíl na webovou stránku, která mu dá pokyn, aby naskenoval další QR kód. Namísto udělení přístupu legitimní skupině je však tento QR kód pastí navrženou tak, aby zneužila funkci propojení účtů WhatsApp a poskytla útočníkům neoprávněný přístup ke zprávám a datům.
Využití funkcí WhatsApp
Oběti, které se řídí pokyny na klamavé stránce ('aerofluidthermo.org'), nevědomky umožňují Star Blizzard infiltrovat jejich účty WhatsApp. Tato metoda umožňuje útočníkům exfiltrovat zprávy a další citlivá data, potenciálně prostřednictvím rozšíření prohlížeče.
Preventivní opatření pro ohrožené osoby
Lidé pracující ve vládě, diplomacii, obranné politice nebo mezinárodních vztazích – zejména ti, kteří mají vazby na Ukrajinu – by měli zůstat ostražití při vyřizování e-mailů obsahujících odkazy na externí zdroje. Ověření pravosti neočekávaných zpráv před kliknutím na odkazy nebo skenováním QR kódů je zásadní pro zamezení kompromisu.
Trvalá a vyvíjející se kybernetická hrozba
Tato nejnovější kampaň zdůrazňuje přizpůsobivost a odhodlání Star Blizzard pokračovat v operacích spear-phishing navzdory opakovaným neúspěchům. Přechodem na WhatsApp phishing skupina prokazuje svou schopnost vyvíjet taktiku a zdůrazňuje trvalou potřebu povědomí o kybernetické bezpečnosti a ochranných opatření mezi cílovými jednotlivci a organizacemi.
