Ster Blizzard Threat Acteur
De Russische cyberdreigingsactor Star Blizzard is in verband gebracht met een nieuwe spear-phishingcampagne die zich richt op de WhatsApp-accounts van slachtoffers. Dit markeert een verschuiving van de gebruikelijke tactieken, die waarschijnlijk gericht zijn op het ontwijken van detectie en het onder verhoogde controle houden van de activiteiten.
Inhoudsopgave
Hoogwaardige doelen in de overheid en diplomatie
Star Blizzard richt zich voornamelijk op personen die verbonden zijn met de overheid en diplomatie, waaronder huidige en voormalige ambtenaren. Het richt zich ook op onderzoekers die gespecialiseerd zijn in defensiebeleid en internationale betrekkingen, met name degenen wiens werk betrekking heeft op Rusland. Een andere belangrijke groep in het vizier bestaat uit personen en organisaties die Oekraïne helpen in het voortdurende conflict met Rusland.
De beruchte sterrenstorm: een aanhoudende bedreiging
Star Blizzard, voorheen bekend als SEABORGIUM, heeft een lange geschiedenis van cyberactiviteiten die teruggaat tot ten minste 2012. Het opereert onder meerdere aliassen, waaronder Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 en UNC4057. Deze groep is berucht om zijn campagnes voor het verzamelen van inloggegevens, die meestal worden uitgevoerd via spear-phishing-e-mails die zijn ontworpen om gevoelige inloggegevens te stelen.
Een geschiedenis van misleidende tactieken
Star Blizzard heeft traditioneel gebruikgemaakt van phishing-e-mails die werden verzonden vanaf ProtonMail-accounts, waarbij kwaadaardige links in documenten werden ingesloten om slachtoffers te verleiden tot het verstrekken van inloggegevens. Deze aanvallen maken vaak gebruik van door Evilginx aangestuurde pagina's om Two-Factor Authentication (2FA)-beveiligingsmaatregelen te omzeilen via een Adversary-in-The-Middle (AiTM)-techniek. De groep heeft ook e-mailmarketingplatforms zoals HubSpot en MailerLite gebruikt om verzendergegevens te verbergen en beveiligingsfilters te omzeilen.
Verstoringen en aanpassingen
Pogingen om de activiteiten van Star Blizzard aan banden te leggen, kregen eind vorig jaar meer grip toen Microsoft en het Amerikaanse ministerie van Justitie (DoJ) meer dan 180 domeinen in beslag namen die aan de groep waren gekoppeld. Deze domeinen waren actief gebruikt om journalisten, denktanks en NGO's te targeten tussen januari 2023 en augustus 2024. De toegenomen publieke bekendheid van deze operaties heeft de groep mogelijk gedwongen om zijn tactieken aan te passen, wat leidde tot de recente WhatsApp-gerichte campagne.
Het WhatsApp-phishing-schema onthuld
De nieuwste campagne begint met een spear-phishing e-mail die zich voordoet als een bericht van een Amerikaanse overheidsfunctionaris. Deze misleidende aanpak vergroot de geloofwaardigheid en vergroot de kans op betrokkenheid van het doelwit. De e-mail bevat een QR-code, die ontvangers naar verluidt uitnodigt om lid te worden van een WhatsApp-groep die is gewijd aan de ondersteuning van Oekraïense NGO's. De code wordt echter opzettelijk gekraakt, waardoor het slachtoffer reageert.
Een meerstappen-misleiding
Na ontvangst van een antwoord stuurt Star Blizzard een vervolgmail met excuses voor het probleem en een t.ly verkorte link naar de WhatsApp-groep. Door op de link te klikken, wordt het doelwit doorgestuurd naar een webpagina met de instructie om een andere QR-code te scannen. In plaats van toegang te verlenen aan een legitieme groep, is deze QR-code echter een valstrik die is ontworpen om de accountkoppelingsfunctie van WhatsApp te misbruiken, waardoor aanvallers ongeautoriseerde toegang krijgen tot berichten en gegevens.
De functies van WhatsApp benutten
Slachtoffers die de instructies op de misleidende site ('aerofluidthermo.org') volgen, laten Star Blizzard onbewust hun WhatsApp-accounts infiltreren. Deze methode stelt de aanvallers in staat om berichten en andere gevoelige gegevens te exfiltreren, mogelijk via browserextensies.
Voorzorgsmaatregelen voor risicopersonen
Mensen die werken in de overheid, diplomatie, defensiebeleid of internationale betrekkingen, met name mensen met banden met Oekraïne, moeten waakzaam blijven bij het verwerken van e-mails met links naar externe bronnen. Het verifiëren van de authenticiteit van onverwachte berichten voordat u op links klikt of QR-codes scant, is cruciaal om compromissen te voorkomen.
Een aanhoudende en evoluerende cyberdreiging
Deze laatste campagne benadrukt Star Blizzard's aanpassingsvermogen en vastberadenheid om spear-phishing-operaties voort te zetten ondanks herhaalde tegenslagen. Door over te stappen op WhatsApp-phishing, toont de groep zijn vermogen om tactieken te ontwikkelen, wat de voortdurende behoefte aan cybersecuritybewustzijn en beschermende maatregelen onder beoogde individuen en organisaties onderstreept.
