Star Blizzard Threat Actor
Руски актер сајбер претњи познат као Стар Близзард повезан је са новом кампањом крађе идентитета која циља на ВхатсАпп налоге жртава. Ово означава помак од његове уобичајене тактике, вероватно усмерене на избегавање откривања и одржавање својих операција под појачаним надзором.
Преглед садржаја
Високи циљеви у влади и дипломатији
Стар Близзард првенствено циља на појединце повезане са владом и дипломатијом, укључујући садашње и бивше званичнике. Такође циља истраживаче специјализоване за одбрамбену политику и међународне односе, посебно оне чији рад укључује Русију. Још једна кључна група на њеном лицу места чине појединци и организације које помажу Украјини у текућем сукобу са Русијом.
Злогласна звездана мећава: стална претња
Раније познат као СЕАБОРГИУМ, Стар Близзард има дугу историју сајбер активности која датира најмање од 2012. Ради под више псеудонима, укључујући Блуе Цаллисто, БлуеЦхарлие (ТАГ-53), Цалисто, ЦОЛДРИВЕР, Данцинг Саломе, Госсамер Беар, Ирон Фронтиер , ТА446 и УНЦ4057. Ова група је озлоглашена по својим кампањама прикупљања акредитива, које се обично спроводе путем е-порука за крађу идентитета дизајнираних да украду осетљиве акредитиве за пријаву.
Историја обмањујуће тактике
Стар Близзард традиционално користи пхисхинг е-поруке послате са ПротонМаил налога, уграђујући злонамерне везе у документе како би намамили жртве да дају акредитиве. Ови напади често користе странице које покреће Евилгинк да би заобишли безбедносне мере двофакторске аутентификације (2ФА) кроз технику противник у средини (АиТМ). Група је такође искористила платформе за маркетинг е-поште као што су ХубСпот и МаилерЛите да прикрије детаље пошиљаоца и заобиђе сигурносне филтере.
Поремећаји и адаптације
Напори да се обуздају активности Стар Близзард-а добили су на снази крајем прошле године када су Мицрософт и Министарство правде САД (ДоЈ) запленили преко 180 домена повезаних са групом. Ови домени су се активно користили за циљање новинара, истраживачких центара и невладиних организација између јануара 2023. и августа 2024. Повећана изложеност јавности ових операција је можда приморала групу да прилагоди своју тактику, што је довело до недавне кампање фокусиране на ВхатсАпп.
Представљена ВхатсАпп шема за пхисхинг
Најновија кампања почиње е-поштом за крађу идентитета која се маскира као порука званичника америчке владе. Овај обмањујући приступ додаје кредибилитет и повећава вероватноћу ангажовања циља. Имејл садржи КР код, који наводно позива примаоце да се придруже групи ВхатсАпп посвећеној подршци украјинским невладиним организацијама. Међутим, шифра је намерно разбијена, што наводи жртву да реагује.
Превара у више корака
По пријему одговора, Стар Близзард шаље накнадну е-пошту у којој се извињава због проблема и даје скраћени линк до ВхатсАпп групе. Кликом на везу преусмерава мету на веб страницу са упутством да скенира други КР код. Међутим, уместо да омогући приступ легитимној групи, овај КР код је замка дизајнирана да искористи функцију повезивања налога ВхатсАпп-а, омогућавајући нападачима неовлашћени приступ порукама и подацима.
Искоришћавање функција ВхатсАпп-а
Жртве које прате упутства на обмањујућем сајту ('аерофлуидтхермо.орг') несвесно дозвољавају Стар Близзард-у да се инфилтрира у њихове ВхатсАпп налоге. Овај метод омогућава нападачима да ексфилтрирају поруке и друге осетљиве податке, потенцијално преко екстензија претраживача.
Мере предострожности за ризичне особе
Они који раде у влади, дипломатији, одбрамбеној политици или међународним односима—посебно они који су повезани са Украјином—требало би да буду опрезни када рукују имејловима који садрже везе ка спољним изворима. Провера аутентичности неочекиваних порука пре кликања на везе или скенирања КР кодова је кључна за избегавање компромиса.
Упорна и развијајућа сајбер претња
Ова најновија кампања истиче прилагодљивост и одлучност Стар Близзард-а да настави са операцијама крађе идентитета упркос поновљеним неуспесима. Преласком на ВхатсАпп пхисхинг, група показује своју способност да еволуира тактике, наглашавајући сталну потребу за свешћу о сајбер безбедности и заштитним мерама међу циљаним појединцима и организацијама.
