Star Blizzard Threat Actor
Krievu kiberdraudu aktieris, kas pazīstams kā Star Blizzard, ir saistīts ar jaunu pikšķerēšanas kampaņu, kuras mērķis ir upuru WhatsApp konti. Tas iezīmē pāreju no tās parastās taktikas, kuras mērķis, iespējams, ir izvairīties no atklāšanas un uzturēt tās darbību pastiprinātā uzraudzībā.
Satura rādītājs
Augsta līmeņa mērķi valdībā un diplomātijā
Star Blizzard galvenokārt ir paredzēts personām, kas saistītas ar valdību un diplomātiju, tostarp pašreizējām un bijušajām amatpersonām. Tas ir paredzēts arī pētniekiem, kas specializējas aizsardzības politikā un starptautiskajās attiecībās, īpaši tiem, kuru darbs ir saistīts ar Krieviju. Vēl viena svarīga grupa tās krustpunktā ir personas un organizācijas, kas palīdz Ukrainai notiekošajā konfliktā ar Krieviju.
Bēdīgi slavenais zvaigžņu putenis: pastāvīgs drauds
Star Blizzard, kas iepriekš bija pazīstams kā SEABORGIUM, ir sena kiberdarbības vēsture, kas aizsākās vismaz līdz 2012. gadam. Tā darbojas ar vairākiem aizstājvārdiem, tostarp Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier. , TA446 un UNC4057. Šī grupa ir bēdīgi slavena ar savām akreditācijas datu iegūšanas kampaņām, kas parasti tiek veiktas, izmantojot pikšķerēšanas e-pastus, kas paredzēti sensitīvu pieteikšanās akreditācijas datu nozagšanai.
Maldinošas taktikas vēsture
Star Blizzard tradicionāli ir izmantojis pikšķerēšanas e-pastus, kas tiek sūtīti no ProtonMail kontiem, iestrādājot dokumentos ļaunprātīgas saites, lai mudinātu upurus sniegt akreditācijas datus. Šajos uzbrukumos bieži tiek izmantotas Evilginx darbināmas lapas, lai apietu divu faktoru autentifikācijas (2FA) drošības pasākumus, izmantojot pretinieka vidū (AiTM) paņēmienu. Grupa ir arī izmantojusi e-pasta mārketinga platformas, piemēram, HubSpot un MailerLite, lai slēptu sūtītāja informāciju un apietu drošības filtrus.
Traucējumi un pielāgošanās
Centieni ierobežot Star Blizzard aktivitātes guva panākumus pagājušā gada beigās, kad Microsoft un ASV Tieslietu ministrija (DoJ) konfiscēja vairāk nekā 180 ar grupu saistītos domēnus. No 2023. gada janvāra līdz 2024. gada augustam šie domēni tika aktīvi izmantoti, lai atlasītu žurnālistus, ideju laboratorijas un NVO. Šo operāciju pieaugošā ietekme sabiedrībā, iespējams, piespieda grupu pielāgot savu taktiku, kā rezultātā nesen tika uzsākta kampaņa, kas bija vērsta uz WhatsApp.
Ir atklāta WhatsApp pikšķerēšanas shēma
Jaunākā kampaņa sākas ar pikšķerēšanas e-pastu, kas tiek maskēts kā vēstījums no ASV valdības amatpersonas. Šī maldinošā pieeja palielina uzticamību un palielina mērķa iesaistīšanās iespējamību. E-pastā ir QR kods, kas, iespējams, aicina adresātus pievienoties WhatsApp grupai, kuras mērķis ir atbalstīt Ukrainas NVO. Tomēr kods ir apzināti uzlauzts, liekot cietušajam reaģēt.
Daudzpakāpju maldināšana
Saņemot atbildi, Star Blizzard nosūta papildu e-pasta ziņojumu, kurā atvainojas par problēmu un sniedz t.ly saīsinātu saiti uz WhatsApp grupu. Noklikšķinot uz saites, mērķauditorija tiek novirzīta uz Web lapu, kurā tiek uzdots skenēt citu QR kodu. Tomēr tā vietā, lai piešķirtu piekļuvi likumīgai grupai, šis QR kods ir slazds, kas paredzēts WhatsApp kontu saistīšanas funkcijas izmantošanai, nodrošinot uzbrucējiem nesankcionētu piekļuvi ziņojumiem un datiem.
WhatsApp funkciju izmantošana
Upuri, kuri izpilda maldinošajā vietnē ("aerofluidthermo.org") sniegtos norādījumus, neapzināti ļauj Star Blizzard iefiltrēties viņu WhatsApp kontos. Šī metode ļauj uzbrucējiem izfiltrēt ziņojumus un citus sensitīvus datus, iespējams, izmantojot pārlūkprogrammas paplašinājumus.
Piesardzības pasākumi riskam pakļautām personām
Tiem, kas strādā valdībā, diplomātijā, aizsardzības politikā vai starptautiskajās attiecībās, jo īpaši tiem, kuriem ir saites ar Ukrainu, ir jāsaglabā modrība, apstrādājot e-pasta ziņojumus, kuros ir saites uz ārējiem avotiem. Negaidītu ziņojumu autentiskuma pārbaude pirms noklikšķināšanas uz saitēm vai QR kodu skenēšanas ir ļoti svarīga, lai izvairītos no kompromisa.
Pastāvīgs un mainīgs kiberdrauds
Šī jaunākā kampaņa izceļ Star Blizzard pielāgošanās spēju un apņēmību turpināt pikšķerēšanas operācijas, neskatoties uz atkārtotiem neveiksmēm. Pārejot uz WhatsApp pikšķerēšanu, grupa demonstrē savu spēju attīstīt taktiku, uzsverot pastāvīgo vajadzību pēc kiberdrošības izpratnes un aizsardzības pasākumiem mērķa personu un organizāciju vidū.
