Aktor Zagrożenia Gwiazdą Blizzard
Rosyjski aktor cyberzagrożeń znany jako Star Blizzard został powiązany z nową kampanią spear-phishingu, której celem są konta WhatsApp ofiar. Oznacza to odejście od jego zwykłej taktyki, prawdopodobnie mającej na celu uniknięcie wykrycia i utrzymanie jego operacji pod zwiększoną kontrolą.
Spis treści
Cele o wysokim profilu w rządzie i dyplomacji
Star Blizzard atakuje przede wszystkim osoby związane z rządem i dyplomacją, w tym obecnych i byłych urzędników. Celuje również w badaczy specjalizujących się w polityce obronnej i stosunkach międzynarodowych, szczególnie tych, których praca wiąże się z Rosją. Inną kluczową grupą na celowniku są osoby i organizacje pomagające Ukrainie w trwającym konflikcie z Rosją.
Niesławna śnieżyca gwiezdna: stałe zagrożenie
Wcześniej znany jako SEABORGIUM, Star Blizzard ma długą historię cyberaktywności sięgającą co najmniej 2012 roku. Działa pod wieloma pseudonimami, w tym Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 i UNC4057. Ta grupa jest znana z kampanii zbierania danych uwierzytelniających, zwykle przeprowadzanych za pomocą wiadomości e-mail typu spear-phishing, których celem jest kradzież poufnych danych logowania.
Historia oszukańczych taktyk
Star Blizzard tradycyjnie używał wiadomości phishingowych wysyłanych z kont ProtonMail, umieszczając złośliwe linki w dokumentach, aby nakłonić ofiary do podania danych uwierzytelniających. Te ataki często wykorzystują strony obsługiwane przez Evilginx, aby ominąć środki bezpieczeństwa uwierzytelniania dwuskładnikowego (2FA) za pomocą techniki Adversary-in-The-Middle (AiTM). Grupa wykorzystała również platformy marketingu e-mailowego, takie jak HubSpot i MailerLite, aby ukryć dane nadawcy i ominąć filtry bezpieczeństwa.
Zakłócenia i adaptacje
Działania mające na celu ograniczenie działalności Star Blizzard nabrały rozpędu pod koniec zeszłego roku, kiedy Microsoft i Departament Sprawiedliwości USA (DoJ) przejęły ponad 180 domen powiązanych z grupą. Domeny te były aktywnie wykorzystywane do atakowania dziennikarzy, ośrodków analitycznych i organizacji pozarządowych w okresie od stycznia 2023 r. do sierpnia 2024 r. Zwiększona ekspozycja publiczna tych operacji mogła zmusić grupę do zmiany taktyki, co doprowadziło do niedawnej kampanii skoncentrowanej na WhatsApp.
Odkryto schemat phishingu WhatsApp
Najnowsza kampania zaczyna się od e-maila typu spear-phishing, który podszywa się pod wiadomość od urzędnika rządowego USA. To oszukańcze podejście dodaje wiarygodności i zwiększa prawdopodobieństwo zaangażowania ze strony celu. E-mail zawiera kod QR, rzekomo zapraszający odbiorców do dołączenia do grupy WhatsApp poświęconej wspieraniu ukraińskich organizacji pozarządowych. Jednak kod jest celowo łamany, co skłania ofiarę do odpowiedzi.
Wieloetapowe oszustwo
Po otrzymaniu odpowiedzi Star Blizzard wysyła wiadomość e-mail z przeprosinami za problem i skróconym linkiem do grupy WhatsApp. Kliknięcie linku przekierowuje odbiorcę na stronę internetową, na której znajduje się polecenie zeskanowania kolejnego kodu QR. Jednak zamiast przyznać dostęp do legalnej grupy, ten kod QR jest pułapką zaprojektowaną w celu wykorzystania funkcji łączenia kont WhatsApp, przyznając atakującym nieautoryzowany dostęp do wiadomości i danych.
Wykorzystanie funkcji WhatsApp
Ofiary, które postępują zgodnie z instrukcjami na oszukańczej stronie („aerofluidthermo.org”), nieświadomie pozwalają Star Blizzard na infiltrację ich kont WhatsApp. Ta metoda umożliwia atakującym wykradanie wiadomości i innych poufnych danych, potencjalnie za pośrednictwem rozszerzeń przeglądarki.
Środki ostrożności dla osób narażonych na ryzyko
Osoby pracujące w rządzie, dyplomacji, polityce obronnej lub stosunkach międzynarodowych — szczególnie te, które mają powiązania z Ukrainą — powinny zachować czujność podczas obsługi wiadomości e-mail zawierających linki do źródeł zewnętrznych. Weryfikacja autentyczności nieoczekiwanych wiadomości przed kliknięciem linków lub zeskanowaniem kodów QR jest kluczowa dla uniknięcia kompromisu.
Stałe i ewoluujące zagrożenie cybernetyczne
Ta najnowsza kampania podkreśla zdolność adaptacji i determinację Star Blizzard do kontynuowania operacji spear-phishingu pomimo powtarzających się niepowodzeń. Przechodząc na WhatsApp phishing, grupa demonstruje swoją zdolność do rozwijania taktyk, podkreślając ciągłą potrzebę świadomości cyberbezpieczeństwa i środków ochronnych wśród osób i organizacji będących celem ataków.
