Звезда Blizzard Угроза Актер
Российский киберпреступник, известный как Star Blizzard, был связан с новой кампанией целевого фишинга, нацеленной на аккаунты жертв WhatsApp. Это знаменует собой отход от его обычной тактики, вероятно, направленной на то, чтобы избежать обнаружения и сохранить свои операции под пристальным вниманием.
Оглавление
Значимые цели в правительстве и дипломатии
Star Blizzard в первую очередь нацелена на лиц, связанных с правительством и дипломатией, включая нынешних и бывших чиновников. Она также нацелена на исследователей, специализирующихся на оборонной политике и международных отношениях, особенно тех, чья работа связана с Россией. Другая ключевая группа, находящаяся под ее прицелом, состоит из лиц и организаций, помогающих Украине в продолжающемся конфликте с Россией.
Печально известная звездная метель: постоянная угроза
Ранее известная как SEABORGIUM, Star Blizzard имеет долгую историю киберактивности, начинающуюся как минимум с 2012 года. Она действует под несколькими псевдонимами, включая Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 и UNC4057. Эта группа печально известна своими кампаниями по сбору учетных данных, которые обычно осуществляются с помощью фишинговых писем, предназначенных для кражи конфиденциальных учетных данных.
История обманных приемов
Star Blizzard традиционно использовала фишинговые письма, отправленные с учетных записей ProtonMail, внедряя вредоносные ссылки в документы, чтобы заставить жертв предоставить учетные данные. Эти атаки часто используют страницы на базе Evilginx для обхода мер безопасности двухфакторной аутентификации (2FA) с помощью техники Adversary-in-The-Middle (AiTM). Группа также использовала платформы email-маркетинга, такие как HubSpot и MailerLite, чтобы скрыть данные отправителя и обойти фильтры безопасности.
Нарушения и адаптации
Усилия по пресечению деятельности Star Blizzard набрали обороты в конце прошлого года, когда Microsoft и Министерство юстиции США (DoJ) конфисковали более 180 доменов, связанных с группой. Эти домены активно использовались для нападения на журналистов, аналитические центры и НПО в период с января 2023 года по август 2024 года. Возросшая публичность этих операций могла заставить группу скорректировать свою тактику, что привело к недавней кампании, сфокусированной на WhatsApp.
Раскрыта схема фишинга WhatsApp
Последняя кампания начинается с фишингового письма, маскирующегося под сообщение от представителя правительства США. Этот обманчивый подход добавляет доверия и увеличивает вероятность взаимодействия со стороны цели. Письмо содержит QR-код, якобы приглашающий получателей присоединиться к группе WhatsApp, посвященной поддержке украинских НПО. Однако код намеренно взломан, что побуждает жертву ответить.
Многошаговый обман
Получив ответ, Star Blizzard отправляет последующее электронное письмо с извинениями за проблему и предоставлением t.ly сокращенной ссылки на группу WhatsApp. Щелчок по ссылке перенаправляет цель на веб-страницу, где ей предлагается отсканировать другой QR-код. Однако вместо предоставления доступа к законной группе этот QR-код является ловушкой, предназначенной для использования функции привязки учетных записей WhatsApp, предоставляя злоумышленникам несанкционированный доступ к сообщениям и данным.
Использование возможностей WhatsApp
Жертвы, которые следуют инструкциям на мошенническом сайте ('aerofluidthermo.org'), неосознанно позволяют Star Blizzard проникнуть в их аккаунты WhatsApp. Этот метод позволяет злоумышленникам извлекать сообщения и другие конфиденциальные данные, потенциально через расширения браузера.
Меры предосторожности для лиц из группы риска
Те, кто работает в правительстве, дипломатии, оборонной политике или международных отношениях, особенно те, кто связан с Украиной, должны сохранять бдительность при работе с электронными письмами, содержащими ссылки на внешние источники. Проверка подлинности неожиданных сообщений перед нажатием на ссылки или сканированием QR-кодов имеет решающее значение для предотвращения компрометации.
Постоянная и развивающаяся киберугроза
Эта последняя кампания подчеркивает адаптивность Star Blizzard и ее решимость продолжать фишинговые операции, несмотря на повторяющиеся неудачи. Перейдя на фишинг WhatsApp, группа демонстрирует свою способность развивать тактику, подчеркивая постоянную необходимость в осведомленности о кибербезопасности и защитных мерах среди целевых лиц и организаций.
