Star Blizzard Threat Skådespelare
Den ryska aktören för cyberhot känd som Star Blizzard har kopplats till en ny spjutfiskekampanj riktad mot offrens WhatsApp-konton. Detta markerar en förändring från dess vanliga taktik, troligen syftat till att undvika upptäckt och upprätthålla dess verksamhet under ökad granskning.
Innehållsförteckning
Högprofilerade mål inom regering och diplomati
Star Blizzard riktar sig i första hand till individer med anknytning till regering och diplomati, inklusive nuvarande och tidigare tjänstemän. Den riktar sig också till forskare som är specialiserade på försvarspolitik och internationella relationer, särskilt de vars arbete involverar Ryssland. En annan nyckelgrupp i sitt hårkors består av individer och organisationer som hjälper Ukraina i den pågående konflikten med Ryssland.
The Infamous Star Blizzard: A Persistent Threat
Star Blizzard, tidigare känt som SEABORGIUM, har en lång historia av cyberaktiviteter som går tillbaka till åtminstone 2012. Den fungerar under flera alias, inklusive Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 och UNC4057. Den här gruppen är ökända för sina kampanjer för insamling av autentiseringsuppgifter, vanligtvis utförda genom e-postmeddelanden med spjutfiske som utformats för att stjäla känsliga inloggningsuppgifter.
En historia av vilseledande taktik
Star Blizzard har traditionellt använt nätfiske-e-postmeddelanden som skickats från ProtonMail-konton, och bäddat in skadliga länkar i dokument för att locka offer att tillhandahålla autentiseringsuppgifter. Dessa attacker använder ofta Evilginx-drivna sidor för att kringgå säkerhetsåtgärder med tvåfaktorsautentisering (2FA) genom en Adversary-in-The-Middle-teknik (AiTM). Gruppen har också utnyttjat e-postmarknadsföringsplattformar som HubSpot och MailerLite för att dölja avsändarinformation och kringgå säkerhetsfilter.
Störningar och anpassningar
Ansträngningar för att stävja Star Blizzards aktiviteter fick fart i slutet av förra året när Microsoft och det amerikanska justitiedepartementet (DoJ) beslagtog över 180 domäner kopplade till gruppen. Dessa domäner hade aktivt använts för att rikta in sig på journalister, tankesmedjor och icke-statliga organisationer mellan januari 2023 och augusti 2024. Den ökade offentliga exponeringen av dessa operationer kan ha tvingat gruppen att justera sin taktik, vilket ledde till den senaste WhatsApp-fokuserade kampanjen.
WhatsApp-nätfiskeprogrammet avslöjat
Den senaste kampanjen börjar med ett e-postmeddelande med spjutfiske som maskerar sig som ett meddelande från en amerikansk regeringstjänsteman. Detta vilseledande tillvägagångssätt ger trovärdighet och ökar sannolikheten för engagemang från målet. E-postmeddelandet innehåller en QR-kod som påstås bjuda in mottagare att gå med i en WhatsApp-grupp som är dedikerad till att stödja ukrainska icke-statliga organisationer. Koden är dock avsiktligt bruten, vilket får offret att svara.
Ett bedrägeri i flera steg
Efter att ha fått ett svar skickar Star Blizzard ett uppföljande e-postmeddelande som ber om ursäkt för problemet och ger en förkortad länk till WhatsApp-gruppen. Genom att klicka på länken omdirigeras målet till en webbsida som instruerar dem att skanna en annan QR-kod. Men istället för att ge åtkomst till en legitim grupp är denna QR-kod en fälla designad för att utnyttja WhatsApps kontolänkningsfunktion, vilket ger angripare obehörig åtkomst till meddelanden och data.
Utnyttja WhatsApps funktioner
Offer som följer instruktionerna på den bedrägliga sidan ('aerofluidthermo.org') tillåter omedvetet Star Blizzard att infiltrera deras WhatsApp-konton. Denna metod gör det möjligt för angriparna att exfiltrera meddelanden och annan känslig data, eventuellt via webbläsartillägg.
Försiktighetsåtgärder för individer i riskzonen
De som arbetar inom regering, diplomati, försvarspolitik eller internationella relationer – särskilt de som har anknytning till Ukraina – bör vara vaksamma när de hanterar e-postmeddelanden som innehåller länkar till externa källor. Att verifiera äktheten av oväntade meddelanden innan du klickar på länkar eller skannar QR-koder är avgörande för att undvika kompromisser.
Ett ihållande och utvecklande cyberhot
Den senaste kampanjen belyser Star Blizzards anpassningsförmåga och beslutsamhet att fortsätta med spjutfiske trots upprepade motgångar. Genom att gå över till WhatsApp-nätfiske visar gruppen sin förmåga att utveckla taktik, vilket understryker det pågående behovet av cybersäkerhetsmedvetenhet och skyddsåtgärder bland riktade individer och organisationer.
