Star Blizzard Threat Aktori
Aktori rus i kërcënimeve kibernetike i njohur si Star Blizzard është lidhur me një fushatë të re spear-phishing që synon llogaritë e viktimave në WhatsApp. Kjo shënon një ndryshim nga taktikat e saj të zakonshme, që ka të ngjarë të synojnë shmangien e zbulimit dhe mbajtjen e operacioneve të saj nën një kontroll të shtuar.
Tabela e Përmbajtjes
Objektiva të profilit të lartë në qeveri dhe diplomaci
Star Blizzard synon kryesisht individë të lidhur me qeverinë dhe diplomacinë, duke përfshirë zyrtarët aktualë dhe të mëparshëm. Ai synon gjithashtu studiues të specializuar në politikën e mbrojtjes dhe marrëdhëniet ndërkombëtare, veçanërisht ata, puna e të cilëve përfshin Rusinë. Një grup tjetër kyç në grupin e tij përbëhet nga individë dhe organizata që ndihmojnë Ukrainën në konfliktin e vazhdueshëm me Rusinë.
Blizzard Famëkeq Star: Një kërcënim i vazhdueshëm
I njohur më parë si SEABORGIUM, Star Blizzard ka një histori të gjatë aktivitetesh kibernetike që datojnë të paktën në vitin 2012. Ajo operon nën pseudonime të shumta, duke përfshirë Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 dhe UNC4057. Ky grup është i njohur për fushatat e tij të grumbullimit të kredencialeve, të cilat zakonisht ekzekutohen përmes email-eve spear-phishing të krijuara për të vjedhur kredencialet e ndjeshme të hyrjes.
Një histori e taktikave mashtruese
Star Blizzard ka përdorur tradicionalisht email phishing të dërguara nga llogaritë e ProtonMail, duke futur lidhje me qëllim të keq në dokumente për të joshur viktimat për të ofruar kredencialet. Këto sulme shpesh përdorin faqet e fuqizuara nga Evilginx për të anashkaluar masat e sigurisë me Autentifikimin me Dy Faktorë (2FA) përmes një teknike Adversary-in-The-Middle (AiTM). Grupi ka shfrytëzuar gjithashtu platforma të marketingut me email si HubSpot dhe MailerLite për të errësuar detajet e dërguesit dhe për të anashkaluar filtrat e sigurisë.
Ndërprerje dhe përshtatje
Përpjekjet për të frenuar aktivitetet e Star Blizzard fituan tërheqje në fund të vitit të kaluar kur Microsoft dhe Departamenti i Drejtësisë i SHBA (DoJ) kapën mbi 180 domene të lidhura me grupin. Këto fusha ishin përdorur në mënyrë aktive për të synuar gazetarët, grupet e mendimit dhe OJQ-të midis janarit 2023 dhe gushtit 2024. Rritja e ekspozimit publik të këtyre operacioneve mund ta ketë detyruar grupin të rregullojë taktikat e tij, duke çuar në fushatën e fundit të fokusuar në WhatsApp.
U zbulua skema e phishing WhatsApp
Fushata e fundit fillon me një email phishing me shtizë që maskohet si një mesazh nga një zyrtar i qeverisë amerikane. Kjo qasje mashtruese shton besueshmërinë dhe rrit gjasat e angazhimit nga objektivi. Email-i përmban një kod QR, që supozohet se i fton marrësit të bashkohen në një grup WhatsApp të dedikuar për mbështetjen e OJQ-ve të Ukrainës. Megjithatë, kodi është thyer qëllimisht, duke e shtyrë viktimën të përgjigjet.
Një mashtrim me shumë hapa
Me marrjen e një përgjigjeje, Star Blizzard dërgon një email vijues duke kërkuar falje për problemin dhe duke siguruar një lidhje të shkurtuar t.ly në grupin WhatsApp. Klikimi i lidhjes e ridrejton objektivin në një faqe ueb duke i udhëzuar ata të skanojnë një kod tjetër QR. Sidoqoftë, në vend që t'i jepet akses një grupi legjitim, ky kod QR është një kurth i krijuar për të shfrytëzuar veçorinë e lidhjes së llogarisë së WhatsApp, duke u dhënë sulmuesve akses të paautorizuar në mesazhe dhe të dhëna.
Duke shfrytëzuar veçoritë e WhatsApp
Viktimat që ndjekin udhëzimet në faqen mashtruese ('aerofluidthermo.org') pa e ditur lejojnë Star Blizzard të depërtojë në llogaritë e tyre WhatsApp. Kjo metodë u mundëson sulmuesve të eksplorojnë mesazhe dhe të dhëna të tjera të ndjeshme, potencialisht përmes shtesave të shfletuesit.
Masat paraprake për individët në rrezik
Ata që punojnë në qeveri, diplomaci, politikë të mbrojtjes ose marrëdhënie ndërkombëtare - veçanërisht ata që kanë lidhje me Ukrainën - duhet të qëndrojnë vigjilentë kur trajtojnë emailet që përmbajnë lidhje me burime të jashtme. Verifikimi i autenticitetit të mesazheve të papritura përpara se të klikoni në lidhje ose të skanoni kodet QR është thelbësor për të shmangur kompromisin.
Një kërcënim kibernetik i vazhdueshëm dhe në zhvillim
Kjo fushatë e fundit thekson përshtatshmërinë dhe vendosmërinë e Star Blizzard për të vazhduar operacionet spear-phishing pavarësisht pengesave të përsëritura. Duke kaluar në phishing në WhatsApp, grupi demonstron aftësinë e tij për të zhvilluar taktika, duke nënvizuar nevojën e vazhdueshme për ndërgjegjësimin e sigurisë kibernetike dhe masat mbrojtëse midis individëve dhe organizatave të synuara.
