Star Blizzard Threat Glumac
Ruski akter cyber prijetnji poznat kao Star Blizzard povezan je s novom spear-phishing kampanjom koja cilja WhatsApp račune žrtava. Ovo označava pomak od njegove uobičajene taktike, koja je vjerojatno usmjerena na izbjegavanje otkrivanja i održavanje svojih operacija pod povećanim nadzorom.
Sadržaj
Mete visokog profila u vladi i diplomaciji
Star Blizzard prvenstveno cilja na pojedince povezane s vladom i diplomacijom, uključujući sadašnje i bivše dužnosnike. Također cilja na istraživače specijalizirane za obrambenu politiku i međunarodne odnose, posebice one čiji rad uključuje Rusiju. Druga ključna skupina na nišanu sastoji se od pojedinaca i organizacija koji pomažu Ukrajini u tekućem sukobu s Rusijom.
Zloglasna zvjezdana mećava: stalna prijetnja
Prethodno poznat kao SEABORGIUM, Star Blizzard ima dugu povijest cyber aktivnosti koja datira najmanje od 2012. Djeluje pod višestrukim aliasima, uključujući Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 i UNC4057. Ova je grupa ozloglašena po svojim kampanjama skupljanja vjerodajnica, koje se obično izvode putem e-poruka za krađu identiteta namijenjenih krađi osjetljivih vjerodajnica za prijavu.
Povijest prijevarnih taktika
Star Blizzard tradicionalno koristi phishing e-poštu poslanu s ProtonMail računa, ugrađujući zlonamjerne veze u dokumente kako bi namamio žrtve da daju vjerodajnice. Ovi napadi često koriste stranice koje pokreće Evilginx kako bi zaobišle sigurnosne mjere dvofaktorske provjere autentičnosti (2FA) kroz tehniku Adversary-in-The-Middle (AiTM). Grupa je također iskoristila marketinške platforme putem e-pošte kao što su HubSpot i MailerLite kako bi prikrila podatke o pošiljatelju i zaobišla sigurnosne filtere.
Prekidi i prilagodbe
Napori da se obuzdaju aktivnosti Star Blizzarda dobili su maha krajem prošle godine kada su Microsoft i američko Ministarstvo pravosuđa (DoJ) zaplijenili preko 180 domena povezanih s grupom. Te su domene aktivno korištene za ciljanje novinara, think tankova i nevladinih organizacija između siječnja 2023. i kolovoza 2024. Povećana javna izloženost ovih operacija možda je natjerala grupu da prilagodi svoju taktiku, što je dovelo do nedavne kampanje usmjerene na WhatsApp.
Otkrivena WhatsApp Phishing shema
Najnovija kampanja počinje s spear-phishing e-poštom maskiranom kao poruka dužnosnika američke vlade. Ovaj obmanjujući pristup dodaje vjerodostojnost i povećava vjerojatnost angažmana od cilja. E-poruka sadrži QR kod, navodno pozivajući primatelje da se pridruže WhatsApp grupi posvećenoj potpori ukrajinskim nevladinim organizacijama. Međutim, šifra je namjerno razbijena, što je navelo žrtvu da odgovori.
Obmana u više koraka
Po primitku odgovora, Star Blizzard šalje naknadnu e-poruku u kojoj se ispričava za problem i daje vrlo skraćenu vezu na WhatsApp grupu. Klikom na poveznicu cilj se preusmjerava na web stranicu s uputom da skenira drugi QR kod. Međutim, umjesto dopuštanja pristupa legitimnoj grupi, ovaj QR kod je zamka osmišljena za iskorištavanje WhatsAppove značajke povezivanja računa, dopuštajući napadačima neovlašteni pristup porukama i podacima.
Iskorištavanje značajki WhatsAppa
Žrtve koje slijede upute na prijevarnoj stranici ('aerofluidthermo.org') nesvjesno dopuštaju Star Blizzardu da se infiltrira u njihove WhatsApp račune. Ova metoda omogućuje napadačima eksfiltraciju poruka i drugih osjetljivih podataka, potencijalno putem proširenja preglednika.
Mjere opreza za rizične pojedince
Oni koji rade u vladi, diplomaciji, obrambenoj politici ili međunarodnim odnosima - osobito oni koji imaju veze s Ukrajinom - trebali bi ostati oprezni pri rukovanju e-poštom koja sadrži poveznice na vanjske izvore. Provjera autentičnosti neočekivanih poruka prije klikanja na poveznice ili skeniranja QR kodova ključna je za izbjegavanje kompromisa.
Stalna kibernetička prijetnja koja se razvija
Ova posljednja kampanja naglašava prilagodljivost i odlučnost Star Blizzarda da nastavi s operacijama krađe identiteta unatoč opetovanim neuspjesima. Prelaskom na WhatsApp phishing, grupa pokazuje svoju sposobnost razvijanja taktike, naglašavajući stalnu potrebu za sviješću o kibernetičkoj sigurnosti i zaštitnim mjerama među ciljanim pojedincima i organizacijama.
