Star Blizzard Threat Actor
Actorul rus de amenințări cibernetice cunoscut sub numele de Star Blizzard a fost legat de o nouă campanie de spear-phishing care vizează conturile WhatsApp ale victimelor. Aceasta marchează o schimbare față de tacticile sale obișnuite, care probabil vizează evitarea detectării și menținerea operațiunilor sub un control sporit.
Cuprins
Ținte de profil înalt în guvernare și diplomație
Star Blizzard vizează în primul rând persoane legate de guvern și diplomație, inclusiv actualii și foștii oficiali. De asemenea, vizează cercetătorii specializați în politica de apărare și relații internaționale, în special pe cei a căror activitate implică Rusia. Un alt grup cheie în punctul său de vedere este format din indivizi și organizații care asistă Ucraina în conflictul în curs cu Rusia.
Infamul viscol stelar: o amenințare persistentă
Cunoscut anterior ca SEABORGIUM, Star Blizzard are o istorie lungă de activități cibernetice care datează cel puțin din 2012. Funcționează sub mai multe pseudonime, inclusiv Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 și UNC4057. Acest grup este renumit pentru campaniile sale de colectare a acreditărilor, de obicei executate prin e-mailuri de tip spear-phishing concepute pentru a fura acreditările sensibile de conectare.
O istorie a tacticilor înșelătoare
Star Blizzard a folosit în mod tradițional e-mailurile de phishing trimise din conturile ProtonMail, încorporând link-uri rău intenționate în documente pentru a atrage victimele să furnizeze acreditări. Aceste atacuri folosesc adesea pagini bazate pe Evilginx pentru a ocoli măsurile de securitate de autentificare cu doi factori (2FA) printr-o tehnică Adversary-in-The-Middle (AiTM). Grupul a folosit, de asemenea, platforme de marketing prin e-mail, cum ar fi HubSpot și MailerLite, pentru a ascunde detaliile expeditorului și a ocoli filtrele de securitate.
Tulburări și adaptări
Eforturile de a reduce activitățile Star Blizzard au câștigat acțiune la sfârșitul anului trecut, când Microsoft și Departamentul de Justiție al SUA (DoJ) au confiscat peste 180 de domenii legate de grup. Aceste domenii au fost utilizate în mod activ pentru a viza jurnaliști, think tank-uri și ONG-uri între ianuarie 2023 și august 2024. Expunerea publică crescută a acestor operațiuni ar fi putut forța grupul să-și ajusteze tactica, ceea ce a dus la recenta campanie axată pe WhatsApp.
Schema de phishing WhatsApp a fost dezvăluită
Cea mai recentă campanie începe cu un e-mail de tip spear-phishing mascandu-se drept mesaj de la un oficial guvernamental american. Această abordare înșelătoare adaugă credibilitate și crește probabilitatea de implicare din partea țintei. E-mailul conține un cod QR, care se presupune că invită destinatarii să se alăture unui grup WhatsApp dedicat sprijinirii ONG-urilor din Ucraina. Cu toate acestea, codul este rupt în mod deliberat, determinând victima să răspundă.
O înșelăciune în mai mulți pași
După ce primește un răspuns, Star Blizzard trimite un e-mail de urmărire în care își cere scuze pentru problemă și oferă un link prescurtat la grupul WhatsApp. Făcând clic pe link, ținta redirecționează către o pagină Web, indicându-i să scaneze un alt cod QR. Cu toate acestea, în loc să acorde acces unui grup legitim, acest cod QR este o capcană concepută pentru a exploata caracteristica de conectare a contului WhatsApp, oferind atacatorilor acces neautorizat la mesaje și date.
Exploatarea caracteristicilor WhatsApp
Victimele care urmează instrucțiunile de pe site-ul înșelător („aerofluidthermo.org”) permit fără să știe Star Blizzard să se infiltreze în conturile WhatsApp. Această metodă permite atacatorilor să exfiltreze mesaje și alte date sensibile, potențial prin extensii de browser.
Măsuri de precauție pentru persoanele cu risc
Cei care lucrează în guvern, diplomație, politica de apărare sau relații internaționale – în special cei cu legături cu Ucraina – ar trebui să rămână vigilenți atunci când manipulează e-mailuri care conțin link-uri către surse externe. Verificarea autenticității mesajelor neașteptate înainte de a face clic pe linkuri sau de a scana coduri QR este crucială pentru a evita compromisurile.
O amenințare cibernetică persistentă și în evoluție
Această ultimă campanie evidențiază adaptabilitatea și determinarea Star Blizzard de a continua operațiunile de spear-phishing, în ciuda eșecurilor repetate. Trecând la WhatsApp phishing, grupul își demonstrează capacitatea de a evolua tactici, subliniind nevoia continuă de conștientizare a securității cibernetice și măsuri de protecție în rândul persoanelor și organizațiilor vizate.
