Star Blizzard Threat színész
A Star Blizzard néven ismert orosz kiberfenyegetések szereplőjét egy új lándzsás adathalász kampányhoz kapcsolták, amely az áldozatok WhatsApp-fiókjait célozza meg. Ez elmozdulást jelent a megszokott taktikájától, amelynek célja valószínűleg az észlelés elkerülése és a műveletek fokozott ellenőrzés alatt tartása.
Tartalomjegyzék
Kiemelt célpontok a kormányzatban és a diplomáciában
A Star Blizzard elsősorban a kormányzattal és a diplomáciával kapcsolatban álló személyeket célozza meg, beleértve a jelenlegi és korábbi tisztviselőket. Célja továbbá a védelmi politikára és a nemzetközi kapcsolatokra szakosodott kutatók, különösen az Oroszországgal foglalkozó kutatók. A célkereszt másik kulcsfontosságú csoportja az Ukrajnát az Oroszországgal folyó konfliktusban segítő egyének és szervezetek.
A hírhedt csillaghóvihar: Állandó fenyegetés
A korábban SEABORGIUM néven ismert Star Blizzard már legalább 2012-ig nyúlik vissza a kibertevékenységek terén. Több álnéven működik, köztük Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 és UNC4057. Ez a csoport hírhedt a hitelesítő adatok begyűjtő kampányairól, amelyeket jellemzően adathalász e-mailekkel hajtanak végre, amelyek célja érzékeny bejelentkezési adatok ellopása.
A megtévesztő taktikák története
A Star Blizzard hagyományosan a ProtonMail fiókokból küldött adathalász e-maileket használta, rosszindulatú hivatkozásokat ágyazva be a dokumentumokba, hogy az áldozatokat hitelesítési adatok megadására csábítsa. Ezek a támadások gyakran Evilginx által vezérelt oldalakat használnak fel a kéttényezős hitelesítés (2FA) biztonsági intézkedéseinek megkerülésére az Adversary-in-The-Middle (AiTM) technikával. A csoport olyan e-mail marketing platformokat is igénybe vett, mint a HubSpot és a MailerLite, hogy elfedje a feladó adatait és megkerülje a biztonsági szűrőket.
Zavarok és alkalmazkodások
A Star Blizzard tevékenységének megfékezésére tett erőfeszítések tavaly év végén nyertek sikert, amikor a Microsoft és az Egyesült Államok Igazságügyi Minisztériuma (DoJ) több mint 180, a csoporthoz kapcsolódó domaint foglalt le. Ezeket a domaineket 2023 januárja és 2024 augusztusa között aktívan használták újságírók, agytrösztök és civil szervezetek megcélzására. A műveletek fokozott nyilvánosságra hozatala arra kényszeríthette a csoportot, hogy módosítsa taktikáját, ami a közelmúltban a WhatsApp-központú kampányhoz vezetett.
Bemutatták a WhatsApp adathalász rendszert
A legújabb kampány egy lándzsás adathalász e-maillel kezdődik, amelyet egy amerikai kormánytisztviselő üzenetének álcáznak. Ez a megtévesztő megközelítés növeli a hitelességet és növeli a célpont elköteleződésének valószínűségét. Az e-mail egy QR-kódot tartalmaz, amely állítólag arra hívja fel a címzetteket, hogy csatlakozzanak egy WhatsApp-csoporthoz, amely az ukrajnai civil szervezetek támogatásával foglalkozik. A kódot azonban szándékosan törték meg, ami arra készteti az áldozatot, hogy válaszoljon.
Többlépcsős megtévesztés
Miután megkapta a választ, a Star Blizzard e-mailt küld, amelyben elnézést kér a probléma miatt, és megad egy rövidített linket a WhatsApp csoporthoz. A hivatkozásra kattintva a célszemély egy másik QR-kód beolvasására utasító weboldalra irányítja át. Ahelyett azonban, hogy hozzáférést biztosítana egy legitim csoportnak, ez a QR-kód egy csapda, amelyet a WhatsApp fiók-összekapcsolási funkciójának kihasználására terveztek, és jogosulatlan hozzáférést biztosít a támadóknak az üzenetekhez és adatokhoz.
A WhatsApp funkcióinak kihasználása
Azok az áldozatok, akik követik a megtévesztő oldalon („aerofluidthermo.org”) található utasításokat, tudtukon kívül megengedik a Star Blizzardnak, hogy behatoljon a WhatsApp-fiókjukba. Ez a módszer lehetővé teszi a támadók számára, hogy kiszűrjék az üzeneteket és más érzékeny adatokat, esetleg böngészőbővítményeken keresztül.
Óvintézkedések veszélyeztetett egyének számára
A kormányzatban, a diplomáciában, a védelmi politikában vagy a nemzetközi kapcsolatokban dolgozóknak – különösen az Ukrajnával kapcsolatban állóknak – ébernek kell maradniuk a külső forrásokra mutató hivatkozásokat tartalmazó e-mailek kezelésekor. A nem várt üzenetek hitelességének ellenőrzése a hivatkozásokra kattintás vagy a QR-kódok beolvasása előtt kulcsfontosságú a kompromisszumok elkerülése érdekében.
Állandó és fejlődő kiberfenyegetés
Ez a legújabb kampány rávilágít a Star Blizzard alkalmazkodóképességére és eltökéltségére, hogy a többszöri kudarcok ellenére is folytassa az adathalászat. A WhatsApp adathalászatra való átállással a csoport demonstrálja képességét a taktika fejlesztésére, hangsúlyozva a kiberbiztonsági tudatosság és védelmi intézkedések folyamatos szükségességét a megcélzott egyének és szervezetek körében.
