Herec zo skupiny Star Blizzard Threat
Ruský aktér kybernetických hrozieb známy ako Star Blizzard bol spojený s novou kampaňou typu spear-phishing zameranou na účty WhatsApp obetí. To znamená posun od jeho bežnej taktiky, pravdepodobne zameranej na vyhýbanie sa odhaleniu a udržiavanie svojich operácií pod zvýšeným dohľadom.
Obsah
Vysoké ciele vo vláde a diplomacii
Star Blizzard sa primárne zameriava na jednotlivcov spojených s vládou a diplomaciou, vrátane súčasných a bývalých úradníkov. Zameriava sa aj na výskumníkov špecializujúcich sa na obrannú politiku a medzinárodné vzťahy, najmä na tých, ktorých práca zahŕňa Rusko. Ďalšiu kľúčovú skupinu v jej hľadáčiku tvoria jednotlivci a organizácie, ktoré pomáhajú Ukrajine v pretrvávajúcom konflikte s Ruskom.
Neslávne známa hviezda Blizzard: Trvalá hrozba
Star Blizzard, predtým známy ako SEABORGIUM, má dlhú históriu kybernetických aktivít siahajúcu minimálne do roku 2012. Funguje pod viacerými prezývkami, vrátane Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 a UNC4057. Táto skupina je známa svojimi kampaňami na získavanie poverení, ktoré sa zvyčajne vykonávajú prostredníctvom e-mailov typu spear-phishing, ktorých cieľom je ukradnúť citlivé prihlasovacie údaje.
História klamlivých taktík
Star Blizzard tradične používa phishingové e-maily odosielané z účtov ProtonMail, pričom do dokumentov vkladá škodlivé odkazy, aby nalákal obete, aby poskytli poverenia. Tieto útoky často využívajú stránky poháňané Evilginxom na obchádzanie bezpečnostných opatrení dvojfaktorovej autentifikácie (2FA) prostredníctvom techniky Adversary-in-The-Middle (AiTM). Skupina tiež využila platformy e-mailového marketingu, ako sú HubSpot a MailerLite, aby zakryla podrobnosti o odosielateľovi a obišla bezpečnostné filtre.
Prerušenia a adaptácie
Úsilie obmedziť aktivity Star Blizzardu nabralo na sile koncom minulého roka, keď Microsoft a americké ministerstvo spravodlivosti (DoJ) zabavili viac ako 180 domén spojených so skupinou. Tieto domény boli aktívne používané na zacielenie na novinárov, think-tanky a mimovládne organizácie v období od januára 2023 do augusta 2024. Zvýšené verejné vystavenie týchto operácií mohlo prinútiť skupinu upraviť svoju taktiku, čo viedlo k nedávnej kampani zameranej na WhatsApp.
Odhalenie schémy phishingu WhatsApp
Najnovšia kampaň začína spear-phishingovým e-mailom, ktorý sa vydáva za správu od predstaviteľa americkej vlády. Tento klamlivý prístup dodáva dôveryhodnosť a zvyšuje pravdepodobnosť zapojenia zo strany cieľa. E-mail obsahuje QR kód, ktorý údajne pozýva príjemcov, aby sa pripojili k skupine WhatsApp venovanej podpore ukrajinských mimovládnych organizácií. Kód je však zámerne prelomený, čo obeť núti reagovať.
Viacstupňový podvod
Po prijatí odpovede Star Blizzard odošle následný e-mail, v ktorom sa ospravedlňuje za problém a poskytuje skrátený odkaz na skupinu WhatsApp. Kliknutím na odkaz sa cieľ presmeruje na webovú stránku s pokynom, aby naskenoval ďalší QR kód. Avšak namiesto udelenia prístupu legitímnej skupine je tento QR kód pascou navrhnutou tak, aby zneužila funkciu prepojenia účtov WhatsApp a udelila útočníkom neoprávnený prístup k správam a údajom.
Využívanie funkcií WhatsApp
Obete, ktoré postupujú podľa pokynov na klamlivej stránke ('aerofluidthermo.org'), nevedomky umožňujú Star Blizzard infiltrovať ich účty WhatsApp. Táto metóda umožňuje útočníkom preniknúť do správ a iných citlivých údajov, prípadne prostredníctvom rozšírení prehliadača.
Preventívne opatrenia pre ohrozené osoby
Tí, ktorí pracujú vo vláde, diplomacii, obrannej politike alebo medzinárodných vzťahoch – najmä tí, ktorí majú väzby na Ukrajinu – by mali zostať ostražití pri vybavovaní e-mailov obsahujúcich odkazy na externé zdroje. Overenie pravosti neočakávaných správ pred kliknutím na odkazy alebo skenovaním QR kódov je kľúčové, aby ste sa vyhli kompromisom.
Pretrvávajúca a vyvíjajúca sa kybernetická hrozba
Táto najnovšia kampaň poukazuje na prispôsobivosť a odhodlanie Star Blizzard pokračovať v operáciách spear-phishing napriek opakovaným neúspechom. Prechodom na WhatsApp phishing skupina demonštruje svoju schopnosť vyvíjať taktiku a podčiarkuje neustálu potrebu povedomia o kybernetickej bezpečnosti a ochranných opatrení medzi cieľovými jednotlivcami a organizáciami.
