Star Blizzard Threat näitleja
Vene küberohtude näitlejat, keda tuntakse Star Blizzardina, seostatakse uue andmepüügikampaaniaga, mis on suunatud ohvrite WhatsAppi kontodele. See tähistab nihet tavapärasest taktikast, mille eesmärk on tõenäoliselt vältida avastamist ja hoida oma tegevust suurema kontrolli all.
Sisukord
Kõrgetasemelised eesmärgid valitsuse ja diplomaatia vallas
Star Blizzard on peamiselt suunatud valitsuse ja diplomaatiaga seotud isikutele, sealhulgas praegustele ja endistele ametnikele. See on suunatud ka kaitsepoliitikale ja rahvusvahelistele suhetele spetsialiseerunud teadlastele, eriti neile, kelle töö on seotud Venemaaga. Teine oluline rühm selle sihtpunktis on üksikisikud ja organisatsioonid, kes abistavad Ukrainat käimasolevas konfliktis Venemaaga.
Kurikuulus tähevihm: püsiv oht
Varem SEABORGIUM nime all tuntud Star Blizzardil on pikk kübertegevuse ajalugu, mis ulatub tagasi vähemalt 2012. aastani. See tegutseb mitme varjunime all, sealhulgas Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 ja UNC4057. See rühm on kurikuulus oma mandaadi kogumise kampaaniate poolest, mida tavaliselt viiakse läbi tundlike sisselogimismandaatide varastamiseks mõeldud andmepüügimeilide kaudu.
Petliku taktika ajalugu
Star Blizzard on traditsiooniliselt kasutanud ProtonMaili kontodelt saadetud andmepüügimeile, manustades dokumentidesse pahatahtlikke linke, et meelitada ohvreid mandaate andma. Need rünnakud kasutavad sageli Evilginxi toega lehti, et mööda minna kahefaktorilise autentimise (2FA) turvameetmetest, kasutades AiTM-tehnikat. Rühm on saatja üksikasjade varjamiseks ja turvafiltritest möödahiilimiseks kasutanud ka e-posti turundusplatvorme, nagu HubSpot ja MailerLite.
Katkestused ja kohanemised
Star Blizzardi tegevuse ohjeldamiseks tehtud jõupingutused said hoogu eelmise aasta lõpus, kui Microsoft ja USA justiitsministeerium (DoJ) arestisid üle 180 grupiga seotud domeeni. Neid domeene kasutati aktiivselt ajakirjanike, mõttekodade ja valitsusväliste organisatsioonide sihtimiseks ajavahemikus 2023. aasta jaanuarist kuni 2024. aasta augustini. Nende operatsioonide suurenenud avalikkus võis sundida gruppi oma taktikat kohandama, mis viis hiljutise WhatsAppile keskendunud kampaaniani.
WhatsAppi andmepüügiskeem avalikustati
Viimane kampaania algab andmepüügi e-kirjaga, mis maskeerub USA valitsusametniku sõnumiks. Selline petlik lähenemine lisab usaldusväärsust ja suurendab sihtmärgi kaasamise tõenäosust. E-kiri sisaldab QR-koodi, mis väidetavalt kutsub adressaate liituma WhatsAppi grupiga, mis on pühendatud Ukraina valitsusväliste organisatsioonide toetamisele. Kood rikutakse aga tahtlikult, mistõttu ohver reageerib.
Mitmeastmeline pettus
Vastuse saamisel saadab Star Blizzard e-kirja, milles vabandab probleemi pärast ja annab t.ly lühendatud lingi WhatsAppi grupile. Lingil klõpsamine suunab sihtmärgi ümber veebilehele, mis juhendab neid skannima teist QR-koodi. Kuid selle asemel, et anda juurdepääs seaduslikule grupile, on see QR-kood lõks, mis on loodud WhatsAppi kontode linkimise funktsiooni ärakasutamiseks, võimaldades ründajatele volitamata juurdepääsu sõnumitele ja andmetele.
WhatsAppi funktsioonide kasutamine
Ohvrid, kes järgivad petlikul saidil ('aerofluidthermo.org') olevaid juhiseid, lubavad Star Blizzardil oma WhatsAppi kontodele sisse tungida. See meetod võimaldab ründajatel sõnumeid ja muid tundlikke andmeid potentsiaalselt brauserilaiendite kaudu välja filtreerida.
Ettevaatusabinõud riskirühmadele
Valitsuse, diplomaatia, kaitsepoliitika või rahvusvaheliste suhete alal töötavad inimesed, eriti need, kes on seotud Ukrainaga, peaksid välistele allikatele linke sisaldavate meilide käsitlemisel valvsad olema. Ootamatute sõnumite autentsuse kontrollimine enne linkidel klõpsamist või QR-koodide skannimist on kompromisside vältimiseks ülioluline.
Püsiv ja arenev küberoht
See viimane kampaania tõstab esile Star Blizzardi kohanemisvõimet ja sihikindlust jätkata andmepüügitegevust hoolimata korduvatest tagasilöökidest. Minnes üle WhatsAppi andmepüügile, demonstreerib rühm oma võimet taktikat arendada, rõhutades jätkuvat vajadust küberturvalisuse teadlikkuse ja kaitsemeetmete järele sihitud isikute ja organisatsioonide seas.
