Star Blizzard Threat Actor
Rusijos kibernetinių grėsmių veikėjas, žinomas kaip „Star Blizzard“, buvo susietas su nauja sukčiavimo kampanija, nukreipta į aukų „WhatsApp“ paskyras. Tai žymi perėjimą nuo įprastos taktikos, kuria greičiausiai siekiama išvengti aptikimo ir toliau atidžiai stebėti savo veiklą.
Turinys
Aukšto lygio vyriausybės ir diplomatijos tikslai
„Star Blizzard“ pirmiausia skirta asmenims, susijusiems su vyriausybe ir diplomatija, įskaitant esamus ir buvusius pareigūnus. Ji taip pat skirta tyrėjams, kurių specializacija yra gynybos politika ir tarptautiniai santykiai, ypač tie, kurių darbas susijęs su Rusija. Kitą svarbią grupę sudaro asmenys ir organizacijos, padedančios Ukrainai vykstančiame konflikte su Rusija.
Liūdnai pagarsėjusi žvaigždžių pūga: nuolatinė grėsmė
Anksčiau žinoma kaip SEABORGIUM, Star Blizzard turi ilgą kibernetinės veiklos istoriją, siekiančią mažiausiai 2012 m. Ji veikia naudodama kelis slapyvardžius, įskaitant Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier. , TA446 ir UNC4057. Ši grupė yra pagarsėjusi savo kredencialų rinkimo kampanijomis, kurios paprastai vykdomos per sukčiavimo el. laiškus, skirtus slaptiems prisijungimo duomenims pavogti.
Apgaulingos taktikos istorija
„Star Blizzard“ tradiciškai naudoja sukčiavimo el. laiškus, siunčiamus iš „ProtonMail“ paskyrų, įterpdama kenksmingas nuorodas į dokumentus, kad priviliotų aukas pateikti kredencialus. Šiose atakose dažnai naudojami „Evilginx“ palaikomi puslapiai, siekiant apeiti dviejų faktorių autentifikavimo (2FA) saugos priemones, naudojant „Adversary-in-The-Middle“ (AiTM) techniką. Grupė taip pat panaudojo elektroninio pašto rinkodaros platformas, tokias kaip „HubSpot“ ir „MailerLite“, kad paslėptų siuntėjo informaciją ir apeitų saugos filtrus.
Sutrikimai ir prisitaikymai
Pastangos pažaboti „Star Blizzard“ veiklą įsibėgėjo praėjusių metų pabaigoje, kai „Microsoft“ ir JAV teisingumo departamentas (DoJ) užgrobė daugiau nei 180 su grupe susijusių domenų. Nuo 2023 m. sausio mėn. iki 2024 m. rugpjūčio mėn. šios sritys buvo aktyviai naudojamos žurnalistams, ekspertų grupėms ir nevyriausybinėms organizacijoms. Padidėjęs šių operacijų atskleidimas visuomenei galėjo priversti grupę pakoreguoti savo taktiką, o tai paskatino neseniai surengtą „WhatsApp“ kampaniją.
Pristatyta „WhatsApp“ sukčiavimo schema
Paskutinė kampanija prasideda sukčiavimo el. laišku, kuris pridengtas JAV vyriausybės pareigūno žinute. Šis apgaulingas požiūris padidina patikimumą ir padidina tikslo įsitraukimo tikimybę. El. laiške yra QR kodas, tariamai kviečiantis gavėjus prisijungti prie WhatsApp grupės, skirtos remti Ukrainos NVO. Tačiau kodas yra tyčia sulaužytas, todėl auka raginama reaguoti.
Daugiapakopė apgaulė
Gavusi atsakymą, „Star Blizzard“ išsiunčia el. laišką, kuriame atsiprašo už problemą ir pateikiama sutrumpinta nuoroda į „WhatsApp“ grupę. Spustelėjus nuorodą, taikinys nukreipiamas į tinklalapį, kuriame nurodoma nuskaityti kitą QR kodą. Tačiau užuot suteikęs prieigą teisėtai grupei, šis QR kodas yra spąstai, skirti išnaudoti „WhatsApp“ paskyros susiejimo funkciją, suteikiant užpuolikams neteisėtą prieigą prie pranešimų ir duomenų.
„WhatsApp“ funkcijų naudojimas
Aukos, kurios seka instrukcijas apgaulingoje svetainėje („aerofluidthermo.org“), nesąmoningai leidžia „Star Blizzard“ įsiskverbti į jų „WhatsApp“ paskyras. Šis metodas leidžia užpuolikams išfiltruoti pranešimus ir kitus slaptus duomenis, galbūt naudojant naršyklės plėtinius.
Atsargumo priemonės rizikos grupei priklausantiems asmenims
Tie, kurie dirba vyriausybės, diplomatijos, gynybos politikos ar tarptautinių santykių srityse, ypač tie, kurie yra susiję su Ukraina, turėtų išlikti budrūs tvarkydami el. laiškus, kuriuose yra nuorodų į išorinius šaltinius. Norint išvengti kompromisų, būtina patikrinti netikėtų pranešimų autentiškumą prieš spustelėjus nuorodas arba nuskaitant QR kodus.
Nuolatinė ir besivystanti kibernetinė grėsmė
Ši naujausia kampanija pabrėžia „Star Blizzard“ gebėjimą prisitaikyti ir ryžtą tęsti sukčiavimą, nepaisant pasikartojančių nesėkmių. Pereidama prie „WhatsApp“ sukčiavimo, grupė demonstruoja savo gebėjimą tobulinti taktiką, pabrėždama, kad tiksliniams asmenims ir organizacijoms nuolat reikia informuoti apie kibernetinį saugumą ir imtis apsaugos priemonių.
