Star Blizzard Threat Actor

بازیگر تهدید سایبری روسی که به نام Star Blizzard شناخته می شود، با یک کمپین جدید فیشینگ نیزه ای مرتبط شده است که اکانت های WhatsApp قربانیان را هدف قرار می دهد. این نشان‌دهنده تغییر تاکتیک‌های معمول آن است که احتمالاً با هدف فرار از شناسایی و حفظ عملیات تحت نظارت بیشتر است.

اهداف برجسته در دولت و دیپلماسی

Star Blizzard در درجه اول افراد مرتبط با دولت و دیپلماسی، از جمله مقامات فعلی و سابق را هدف قرار می دهد. این برنامه همچنین محققان متخصص در سیاست دفاعی و روابط بین‌الملل را هدف قرار می‌دهد، به‌ویژه آنهایی که کارشان روسیه است. یکی دیگر از گروه‌های کلیدی این گروه شامل افراد و سازمان‌هایی است که به اوکراین در درگیری‌های جاری با روسیه کمک می‌کنند.

کولاک ستاره بدنام: تهدیدی مداوم

Star Blizzard که قبلاً با نام SEABORGIUM شناخته می شد، سابقه طولانی در فعالیت های سایبری دارد که حداقل به سال 2012 بازمی گردد. تحت نام های مستعار متعددی از جمله Blue Callisto، BlueCharlie (TAG-53)، Calisto، COLDRIVER، Dancing Salome، Gossamer Bear، Iron Frontier عمل می کند. ، TA446 و UNC4057. این گروه به خاطر کمپین‌های جمع‌آوری اعتبار، که معمولاً از طریق ایمیل‌های فیشینگ نیزه‌ای که برای سرقت اطلاعات حساس ورود به سیستم طراحی شده‌اند، بدنام است.

تاریخچه تاکتیک های فریبنده

Star Blizzard به طور سنتی از ایمیل‌های فیشینگ ارسال شده از حساب‌های ProtonMail استفاده می‌کند و پیوندهای مخرب را در اسناد جاسازی می‌کند تا قربانیان را برای ارائه اعتبارنامه فریب دهد. این حملات اغلب از صفحات مجهز به Evilginx برای دور زدن اقدامات امنیتی دو مرحله ای (2FA) از طریق تکنیک Adversary-in-The-Middle (AiTM) استفاده می کنند. این گروه همچنین از پلتفرم های بازاریابی ایمیلی مانند HubSpot و MailerLite برای پنهان کردن جزئیات فرستنده و دور زدن فیلترهای امنیتی استفاده کرده است.

اختلالات و سازگاری ها

تلاش‌ها برای محدود کردن فعالیت‌های Star Blizzard در اواخر سال گذشته زمانی که مایکروسافت و وزارت دادگستری ایالات متحده بیش از 180 دامنه مرتبط با این گروه را تصرف کردند، مورد توجه قرار گرفت. این دامنه ها به طور فعال برای هدف قرار دادن روزنامه نگاران، اندیشکده ها و سازمان های غیردولتی بین ژانویه 2023 تا آگوست 2024 مورد استفاده قرار گرفته بودند. افزایش افشای عمومی این عملیات ممکن است گروه را مجبور به تنظیم تاکتیک های خود کرده باشد که منجر به کمپین اخیر متمرکز بر واتس اپ شده است.

طرح فیشینگ واتس اپ رونمایی شد

آخرین کمپین با یک ایمیل فیشینگ نیزه ای آغاز می شود که به عنوان پیامی از یک مقام دولت ایالات متحده ظاهر می شود. این رویکرد فریبنده اعتبار می‌افزاید و احتمال درگیری از هدف را افزایش می‌دهد. این ایمیل حاوی یک کد QR است که گفته می‌شود از گیرندگان دعوت می‌کند تا به یک گروه WhatsApp بپیوندند که به حمایت از سازمان‌های غیردولتی اوکراین اختصاص دارد. با این حال، کد عمداً شکسته شده است و قربانی را وادار می کند تا پاسخ دهد.

یک فریب چند مرحله ای

پس از دریافت پاسخ، Star Blizzard یک ایمیل تکمیلی ارسال می کند و بابت مشکل عذرخواهی می کند و یک لینک کوتاه شده t.ly به گروه WhatsApp ارائه می دهد. کلیک کردن روی پیوند، هدف را به یک صفحه وب هدایت می کند که به آنها دستور می دهد کد QR دیگری را اسکن کنند. با این حال، به جای اعطای دسترسی به یک گروه قانونی، این کد QR تله ای است که برای سوء استفاده از ویژگی پیوند حساب WhatsApp طراحی شده است و به مهاجمان اجازه دسترسی غیرمجاز به پیام ها و داده ها را می دهد.

بهره برداری از ویژگی های واتس اپ

قربانیانی که دستورالعمل‌های سایت فریبنده ('aerofluidthermo.org') را دنبال می‌کنند، ناآگاهانه به Star Blizzard اجازه می‌دهند به حساب‌های واتس‌اپ آنها نفوذ کند. این روش مهاجمان را قادر می سازد تا پیام ها و سایر داده های حساس را به طور بالقوه از طریق برنامه های افزودنی مرورگر استخراج کنند.

اقدامات پیشگیرانه برای افراد در معرض خطر

کسانی که در دولت، دیپلماسی، سیاست دفاعی یا روابط بین‌الملل کار می‌کنند – به ویژه آن‌هایی که با اوکراین در ارتباط هستند – باید در رسیدگی به ایمیل‌های حاوی لینک‌هایی به منابع خارجی هوشیار باشند. تأیید صحت پیام‌های غیرمنتظره قبل از کلیک بر روی پیوندها یا اسکن کدهای QR برای جلوگیری از سازش بسیار مهم است.

یک تهدید سایبری مداوم و در حال تکامل

این جدیدترین کمپین، سازگاری و عزم Star Blizzard برای ادامه عملیات فیشینگ نیزه‌ای را علی‌رغم شکست‌های مکرر نشان می‌دهد. با انتقال به فیشینگ واتساپ، این گروه توانایی خود را در تکامل تاکتیک ها نشان می دهد و بر نیاز مداوم به آگاهی از امنیت سایبری و اقدامات محافظتی در میان افراد و سازمان های هدف تاکید می کند.