Pelakon Ancaman Blizzard Bintang
Pelakon ancaman siber Rusia yang dikenali sebagai Star Blizzard telah dikaitkan dengan kempen pancingan lembing baharu yang menyasarkan akaun WhatsApp mangsa. Ini menandakan peralihan daripada taktik biasa, mungkin bertujuan untuk mengelak pengesanan dan mengekalkan operasinya di bawah pengawasan yang semakin meningkat.
Isi kandungan
Sasaran Berprofil Tinggi dalam Kerajaan dan Diplomasi
Star Blizzard menyasarkan terutamanya individu yang berkaitan dengan kerajaan dan diplomasi, termasuk pegawai semasa dan bekas. Ia juga menyasarkan penyelidik yang pakar dalam dasar pertahanan dan hubungan antarabangsa, terutamanya mereka yang kerjanya melibatkan Rusia. Satu lagi kumpulan penting dalam garis silangnya terdiri daripada individu dan organisasi yang membantu Ukraine dalam konflik yang berterusan dengan Rusia.
Blizzard Bintang Yang Terkenal: Ancaman Berterusan
Sebelum ini dikenali sebagai SEABORGIUM, Star Blizzard mempunyai sejarah panjang aktiviti siber sejak sekurang-kurangnya 2012. Ia beroperasi di bawah pelbagai alias, termasuk Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 dan UNC4057. Kumpulan ini terkenal dengan kempen penuaian kelayakannya, biasanya dilaksanakan melalui e-mel pancingan lembing yang direka untuk mencuri bukti kelayakan log masuk yang sensitif.
Sejarah Taktik Menipu
Star Blizzard secara tradisinya menggunakan e-mel pancingan data yang dihantar daripada akaun ProtonMail, membenamkan pautan berniat jahat dalam dokumen untuk menarik mangsa supaya memberikan bukti kelayakan. Serangan ini selalunya menggunakan halaman berkuasa Evilginx untuk memintas langkah keselamatan Pengesahan Dua Faktor (2FA) melalui teknik Adversary-in-The-Middle (AiTM). Kumpulan itu juga telah memanfaatkan platform pemasaran e-mel seperti HubSpot dan MailerLite untuk mengaburkan butiran penghantar dan memintas penapis keselamatan.
Gangguan dan Penyesuaian
Usaha untuk mengekang aktiviti Star Blizzard mendapat tarikan akhir tahun lalu apabila Microsoft dan Jabatan Kehakiman (DoJ) AS merampas lebih 180 domain yang dikaitkan dengan kumpulan itu. Domain ini telah digunakan secara aktif untuk menyasarkan wartawan, badan pemikir dan NGO antara Januari 2023 dan Ogos 2024. Pendedahan awam yang meningkat terhadap operasi ini mungkin telah memaksa kumpulan itu untuk menyesuaikan taktiknya, yang membawa kepada kempen tertumpu pada WhatsApp baru-baru ini.
Skim Phishing WhatsApp Didedahkan
Kempen terbaru bermula dengan e-mel spear-phishing yang menyamar sebagai mesej daripada pegawai kerajaan AS. Pendekatan menipu ini menambah kredibiliti dan meningkatkan kemungkinan penglibatan daripada sasaran. E-mel itu mengandungi kod QR, yang didakwa menjemput penerima untuk menyertai kumpulan WhatsApp khusus untuk menyokong NGO Ukraine. Bagaimanapun, kod itu sengaja dipecahkan, menyebabkan mangsa bertindak balas.
Penipuan Pelbagai Langkah
Setelah menerima balasan, Star Blizzard menghantar e-mel susulan memohon maaf atas isu tersebut dan memberikan pautan yang dipendekkan secara t.ly ke kumpulan WhatsApp. Mengklik pautan mengubah hala sasaran ke halaman Web yang mengarahkan mereka mengimbas kod QR lain. Walau bagaimanapun, bukannya memberikan akses kepada kumpulan yang sah, kod QR ini ialah perangkap yang direka untuk mengeksploitasi ciri pemautan akaun WhatsApp, memberikan penyerang akses tanpa kebenaran kepada mesej dan data.
Memanfaatkan Ciri WhatsApp
Mangsa yang mengikut arahan di tapak menipu ('aerofluidthermo.org') tanpa disedari membenarkan Star Blizzard menyusup ke akaun WhatsApp mereka. Kaedah ini membolehkan penyerang mengeluarkan mesej dan data sensitif lain, yang berpotensi melalui sambungan penyemak imbas.
Langkah Berjaga-jaga untuk Individu Berisiko
Mereka yang bekerja dalam kerajaan, diplomasi, dasar pertahanan atau hubungan antarabangsa—terutamanya mereka yang mempunyai hubungan dengan Ukraine—harus tetap berwaspada apabila mengendalikan e-mel yang mengandungi pautan ke sumber luar. Mengesahkan ketulenan mesej yang tidak dijangka sebelum mengklik pada pautan atau mengimbas kod QR adalah penting untuk mengelakkan kompromi.
Ancaman Siber yang Berterusan dan Berkembang
Kempen terbaharu ini menyerlahkan kebolehsuaian dan keazaman Star Blizzard untuk meneruskan operasi spear-phishing walaupun mengalami halangan berulang. Dengan beralih kepada pancingan data WhatsApp, kumpulan itu menunjukkan keupayaannya untuk mengubah taktik, menekankan keperluan berterusan untuk kesedaran keselamatan siber dan langkah perlindungan dalam kalangan individu dan organisasi yang disasarkan.
