Star Blizzard Threat Skuespiller
Den russiske cybertrusselsaktør kendt som Star Blizzard er blevet sat i forbindelse med en ny spear-phishing-kampagne rettet mod ofrenes WhatsApp-konti. Dette markerer et skift fra dets sædvanlige taktik, sandsynligvis rettet mod at undgå opdagelse og opretholde dets operationer under øget kontrol.
Indholdsfortegnelse
Højprofilerede mål inden for regering og diplomati
Star Blizzard retter sig primært mod personer med forbindelse til regering og diplomati, herunder nuværende og tidligere embedsmænd. Det er også rettet mod forskere med speciale i forsvarspolitik og internationale forbindelser, især dem, hvis arbejde involverer Rusland. En anden nøglegruppe i sit trådkors består af enkeltpersoner og organisationer, der hjælper Ukraine i den igangværende konflikt med Rusland.
The Infamous Star Blizzard: A Persistent Threat
Tidligere kendt som SEABORGIUM, Star Blizzard har en lang historie med cyberaktiviteter, der går tilbage til mindst 2012. Den opererer under flere aliaser, herunder Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 og UNC4057. Denne gruppe er berygtet for sine legitimationsindsamlingskampagner, der typisk udføres gennem spear-phishing-e-mails designet til at stjæle følsomme loginoplysninger.
En historie om vildledende taktik
Star Blizzard har traditionelt brugt phishing-e-mails sendt fra ProtonMail-konti og indlejret ondsindede links i dokumenter for at lokke ofre til at give legitimationsoplysninger. Disse angreb bruger ofte Evilginx-drevne sider til at omgå sikkerhedsforanstaltninger med tofaktorautentificering (2FA) gennem en Adversary-in-The-Middle (AiTM) teknik. Gruppen har også udnyttet e-mail-marketingplatforme som HubSpot og MailerLite til at skjule afsenderdetaljer og omgå sikkerhedsfiltre.
Forstyrrelser og tilpasninger
Bestræbelserne på at bremse Star Blizzards aktiviteter vandt indpas i slutningen af sidste år, da Microsoft og det amerikanske justitsministerium (DoJ) beslaglagde over 180 domæner knyttet til gruppen. Disse domæner var blevet aktivt brugt til at målrette journalister, tænketanke og ngo'er mellem januar 2023 og august 2024. Den øgede offentlige eksponering af disse operationer kan have tvunget gruppen til at justere sin taktik, hvilket førte til den nylige WhatsApp-fokuserede kampagne.
WhatsApp-phishing-ordningen afsløret
Den seneste kampagne begynder med en spyd-phishing-e-mail, der er maskeret som en besked fra en amerikansk embedsmand. Denne vildledende tilgang tilføjer troværdighed og øger sandsynligheden for engagement fra målet. E-mailen indeholder en QR-kode, der angiveligt inviterer modtagere til at deltage i en WhatsApp-gruppe dedikeret til at støtte Ukraines ngo'er. Koden er dog bevidst brudt, hvilket får offeret til at reagere.
Et bedrag i flere trin
Efter at have modtaget et svar, sender Star Blizzard en opfølgende e-mail, der undskylder for problemet og giver et forkortet link til WhatsApp-gruppen. Ved at klikke på linket omdirigeres målet til en webside, der instruerer dem i at scanne en anden QR-kode. Men i stedet for at give adgang til en legitim gruppe, er denne QR-kode en fælde designet til at udnytte WhatsApps kontotilknytningsfunktion, hvilket giver angribere uautoriseret adgang til beskeder og data.
Udnyttelse af WhatsApps funktioner
Ofre, der følger instruktionerne på det vildledende websted ('aerofluidthermo.org'), tillader ubevidst Star Blizzard at infiltrere deres WhatsApp-konti. Denne metode gør det muligt for angriberne at eksfiltrere beskeder og andre følsomme data, potentielt via browserudvidelser.
Sikkerhedsforanstaltninger for udsatte personer
De, der arbejder i regering, diplomati, forsvarspolitik eller internationale forbindelser – især dem med tilknytning til Ukraine – bør forblive på vagt, når de håndterer e-mails, der indeholder links til eksterne kilder. At verificere ægtheden af uventede beskeder, før du klikker på links eller scanner QR-koder, er afgørende for at undgå kompromis.
En vedvarende og udviklende cybertrussel
Denne seneste kampagne fremhæver Star Blizzards tilpasningsevne og vilje til at fortsætte spear-phishing-operationer på trods af gentagne tilbageslag. Ved at skifte til WhatsApp-phishing demonstrerer gruppen sin evne til at udvikle taktik, hvilket understreger det igangværende behov for cybersikkerhedsbevidsthed og beskyttelsesforanstaltninger blandt målrettede enkeltpersoner og organisationer.
