Star Blizzard Threat-skuespiller
Den russiske cybertrusselaktøren kjent som Star Blizzard har blitt koblet til en ny spyd-phishing-kampanje rettet mot ofrenes WhatsApp-kontoer. Dette markerer et skifte fra dens vanlige taktikk, sannsynligvis rettet mot å unngå oppdagelse og opprettholde operasjonen under økt kontroll.
Innholdsfortegnelse
Høyprofilerte mål innen regjering og diplomati
Star Blizzard retter seg først og fremst mot personer knyttet til regjering og diplomati, inkludert nåværende og tidligere tjenestemenn. Den retter seg også mot forskere som spesialiserer seg på forsvarspolitikk og internasjonale relasjoner, spesielt de hvis arbeid involverer Russland. En annen nøkkelgruppe i trådkorset består av enkeltpersoner og organisasjoner som bistår Ukraina i den pågående konflikten med Russland.
The Infamous Star Blizzard: A Persistent Threat
Tidligere kjent som SEABORGIUM, Star Blizzard har en lang historie med cyberaktiviteter som går tilbake til minst 2012. Den opererer under flere aliaser, inkludert Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 og UNC4057. Denne gruppen er beryktet for sine kampanjer for innhenting av legitimasjon, vanligvis utført gjennom spear-phishing-e-poster designet for å stjele sensitiv påloggingsinformasjon.
En historie om villedende taktikker
Star Blizzard har tradisjonelt brukt phishing-e-poster sendt fra ProtonMail-kontoer, innebygd ondsinnede lenker i dokumenter for å lokke ofre til å oppgi legitimasjon. Disse angrepene bruker ofte Evilginx-drevne sider for å omgå sikkerhetstiltak for tofaktorautentisering (2FA) gjennom en Adversary-in-The-Middle (AiTM)-teknikk. Gruppen har også utnyttet e-postmarkedsføringsplattformer som HubSpot og MailerLite for å skjule avsenderdetaljer og omgå sikkerhetsfiltre.
Forstyrrelser og tilpasninger
Arbeidet med å dempe Star Blizzards aktiviteter fikk gjennomslag sent i fjor da Microsoft og det amerikanske justisdepartementet (DoJ) beslagla over 180 domener knyttet til gruppen. Disse domenene hadde blitt aktivt brukt til å målrette mot journalister, tenketanker og frivillige organisasjoner mellom januar 2023 og august 2024. Den økte offentlighetens eksponering av disse operasjonene kan ha tvunget gruppen til å justere taktikken sin, noe som førte til den nylige WhatsApp-fokuserte kampanjen.
WhatsApp-phishing-ordningen avduket
Den siste kampanjen begynner med en spyd-phishing-e-post som er maskert som en melding fra en amerikansk embetsmann. Denne villedende tilnærmingen gir troverdighet og øker sannsynligheten for engasjement fra målet. E-posten inneholder en QR-kode, som angivelig inviterer mottakere til å bli med i en WhatsApp-gruppe dedikert til å støtte ukrainske frivillige organisasjoner. Imidlertid er koden bevisst brutt, noe som får offeret til å svare.
Et bedrag i flere trinn
Etter å ha mottatt et svar, sender Star Blizzard en oppfølgings-e-post som beklager problemet og gir en forkortet lenke til WhatsApp-gruppen. Ved å klikke på koblingen omdirigeres målet til en webside som ber dem skanne en annen QR-kode. Men i stedet for å gi tilgang til en legitim gruppe, er denne QR-koden en felle designet for å utnytte WhatsApps kontokoblingsfunksjon, og gi angripere uautorisert tilgang til meldinger og data.
Utnytte WhatsApps funksjoner
Ofre som følger instruksjonene på det villedende nettstedet ('aerofluidthermo.org') tillater uvitende Star Blizzard å infiltrere WhatsApp-kontoene deres. Denne metoden gjør det mulig for angriperne å eksfiltrere meldinger og andre sensitive data, potensielt via nettleserutvidelser.
Forholdsregler for risikoutsatte individer
De som jobber i regjering, diplomati, forsvarspolitikk eller internasjonale relasjoner – spesielt de som har tilknytning til Ukraina – bør være på vakt når de håndterer e-poster som inneholder lenker til eksterne kilder. Å verifisere ektheten til uventede meldinger før du klikker på lenker eller skanner QR-koder er avgjørende for å unngå kompromisser.
En vedvarende og utviklende cybertrussel
Denne siste kampanjen fremhever Star Blizzards tilpasningsevne og vilje til å fortsette spear-phishing-operasjoner til tross for gjentatte tilbakeslag. Ved å gå over til WhatsApp-phishing, demonstrerer gruppen sin evne til å utvikle taktikk, og understreker det pågående behovet for cybersikkerhetsbevissthet og beskyttende tiltak blant målrettede individer og organisasjoner.
