Star Blizzard -uhkanäyttelijä
Star Blizzardina tunnettu venäläinen kyberuhkatekijä on linkitetty uuteen keihäänkalastelukampanjaan, joka kohdistuu uhrien WhatsApp-tileihin. Tämä merkitsee muutosta sen tavanomaisesta taktiikasta, jonka tarkoituksena on todennäköisesti välttää havaitseminen ja pitää sen toiminta tiukemman valvonnan alaisena.
Sisällysluettelo
Korkean profiilin tavoitteet hallituksessa ja diplomatiassa
Star Blizzard on suunnattu ensisijaisesti hallitukseen ja diplomatiaan liittyviin henkilöihin, mukaan lukien nykyiset ja entiset virkamiehet. Se on suunnattu myös puolustuspolitiikkaan ja kansainvälisiin suhteisiin erikoistuneille tutkijoille, erityisesti Venäjään liittyville tutkijoille. Toinen keskeinen ryhmä sen hiusristeyksessä ovat henkilöt ja organisaatiot, jotka avustavat Ukrainaa käynnissä olevassa konfliktissa Venäjän kanssa.
Surullisen tähtien lumimyrsky: jatkuva uhka
Aiemmin SEABORGIUM-nimellä tunnetulla Star Blizzardilla on pitkä historia kybertoiminnasta ainakin vuoteen 2012 asti. Se toimii useilla aliaksilla, mukaan lukien Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 ja UNC4057. Tämä ryhmä on kuuluisa valtuustietojen keräämiskampanjoistaan, jotka toteutetaan tyypillisesti phishing-sähköpostiviesteillä, jotka on suunniteltu varastamaan arkaluontoisia kirjautumistietoja.
Petollisen taktiikan historia
Star Blizzard on perinteisesti käyttänyt ProtonMail-tileiltä lähetettyjä phishing-sähköposteja upottamalla haitallisia linkkejä asiakirjoihin houkutellakseen uhreja antamaan valtuustietoja. Nämä hyökkäykset käyttävät usein Evilginx-pohjaisia sivuja ohittamaan kaksifaktorisen todennuksen (2FA) turvatoimenpiteet Adversary-in-The-Middle (AiTM) -tekniikan avulla. Ryhmä on myös hyödyntänyt sähköpostimarkkinointialustoja, kuten HubSpotia ja MailerLitea, hämärtämään lähettäjän tiedot ja ohittamaan suojaussuodattimet.
Häiriöt ja mukautukset
Star Blizzardin toiminnan hillitsemispyrkimykset saivat vetoa viime vuoden lopulla, kun Microsoft ja Yhdysvaltain oikeusministeriö (DoJ) takavarikoivat yli 180 ryhmään liittyvää verkkotunnusta. Näitä verkkotunnuksia oli käytetty aktiivisesti toimittajille, ajatushautoille ja kansalaisjärjestöille tammikuun 2023 ja elokuun 2024 välisenä aikana. Näiden toimien lisääntynyt julkisuus on saattanut pakottaa ryhmän muuttamaan taktiikkaansa, mikä johti äskettäiseen WhatsApp-kampanjaan.
WhatsApp Phishing Scheme paljastettiin
Viimeisin kampanja alkaa keihäs-phishing-sähköpostilla, joka naamioituu viestiksi Yhdysvaltain hallituksen virkamieheltä. Tämä petollinen lähestymistapa lisää uskottavuutta ja lisää kohteen sitoutumisen todennäköisyyttä. Sähköposti sisältää QR-koodin, jonka väitetään kutsuvan vastaanottajia liittymään WhatsApp-ryhmään, joka on omistettu tukemaan Ukrainan kansalaisjärjestöjä. Koodi on kuitenkin rikottu tarkoituksella, mikä saa uhrin reagoimaan.
Monivaiheinen petos
Vastauksen saatuaan Star Blizzard lähettää seurantasähköpostin, jossa hän pahoittelee ongelmaa ja tarjoaa lyhennetyn linkin WhatsApp-ryhmään. Linkin napsauttaminen ohjaa kohteen Web-sivulle, joka kehottaa häntä skannaamaan toisen QR-koodin. Kuitenkin sen sijaan, että tämä QR-koodi antaisi pääsyn lailliselle ryhmälle, se on ansa, joka on suunniteltu hyödyntämään WhatsAppin tilin linkitysominaisuutta ja antaa hyökkääjille luvattoman pääsyn viesteihin ja tietoihin.
WhatsAppin ominaisuuksien hyödyntäminen
Uhrit, jotka noudattavat petollisen sivuston ('aerofluidthermo.org') ohjeita, sallivat Star Blizzardin tunkeutua heidän WhatsApp-tileilleen. Tämän menetelmän avulla hyökkääjät voivat suodattaa viestejä ja muita arkaluontoisia tietoja mahdollisesti selainlaajennusten kautta.
Varotoimenpiteet riskiryhmiin kuuluville henkilöille
Hallituksen, diplomatian, puolustuspolitiikan tai kansainvälisten suhteiden parissa työskentelevien – erityisesti Ukrainaan siteiden omaavien – tulee pysyä valppaina käsitellessään sähköposteja, jotka sisältävät linkkejä ulkoisiin lähteisiin. Odottamattomien viestien aitouden varmistaminen ennen linkkien napsauttamista tai QR-koodien skannausta on ratkaisevan tärkeää kompromissien välttämiseksi.
Jatkuva ja kehittyvä kyberuhka
Tämä uusin kampanja korostaa Star Blizzardin sopeutumiskykyä ja päättäväisyyttä jatkaa tietojenkalastelutoimintaa toistuvista takaiskuista huolimatta. Siirtymällä WhatsApp-phishingiin ryhmä osoittaa kykynsä kehittää taktiikoita ja korostaa jatkuvaa tarvetta kyberturvallisuustietoisuuteen ja suojatoimiin kohdehenkilöiden ja organisaatioiden keskuudessa.
