นักแสดง Star Blizzard Threat
Star Blizzard ซึ่งเป็นผู้ก่ออาชญากรรมไซเบอร์ชาวรัสเซีย มีส่วนเกี่ยวข้องกับแคมเปญฟิชชิ่งแบบเจาะจงที่กำหนดเป้าหมายบัญชี WhatsApp ของเหยื่อ ซึ่งถือเป็นการเปลี่ยนแปลงจากกลยุทธ์ปกติที่มุ่งเป้าไปที่การหลบเลี่ยงการตรวจจับและรักษาการดำเนินงานภายใต้การตรวจสอบที่เข้มงวดยิ่งขึ้น
สารบัญ
เป้าหมายระดับสูงในรัฐบาลและการทูต
Star Blizzard มุ่งเป้าไปที่บุคคลที่เกี่ยวข้องกับรัฐบาลและการทูตเป็นหลัก รวมถึงเจ้าหน้าที่ในปัจจุบันและอดีต นอกจากนี้ยังมุ่งเป้าไปที่นักวิจัยที่เชี่ยวชาญด้านนโยบายการป้องกันประเทศและความสัมพันธ์ระหว่างประเทศ โดยเฉพาะผู้ที่มีงานที่เกี่ยวข้องกับรัสเซีย กลุ่มสำคัญอีกกลุ่มหนึ่งที่ตกเป็นเป้าหมายคือบุคคลและองค์กรที่ให้ความช่วยเหลือยูเครนในความขัดแย้งที่ยังคงดำเนินอยู่กับรัสเซีย
พายุหิมะสตาร์อันน่าอับอาย: ภัยคุกคามที่คงอยู่ตลอดไป
ก่อนหน้านี้รู้จักกันในชื่อ SEABORGIUM Star Blizzard มีประวัติกิจกรรมทางไซเบอร์มาอย่างยาวนานย้อนหลังไปอย่างน้อยในปี 2012 โดยดำเนินการภายใต้ชื่อปลอมหลายชื่อ รวมถึง Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 และ UNC4057 กลุ่มนี้มีชื่อเสียงในด้านแคมเปญการขโมยข้อมูลประจำตัว ซึ่งโดยทั่วไปจะดำเนินการผ่านอีเมลฟิชชิ่งที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัวการเข้าสู่ระบบที่ละเอียดอ่อน
ประวัติศาสตร์ของกลวิธีหลอกลวง
Star Blizzard มักใช้อีเมลฟิชชิ่งที่ส่งจากบัญชี ProtonMail โดยฝังลิงก์ที่เป็นอันตรายในเอกสารเพื่อล่อเหยื่อให้ให้ข้อมูลประจำตัว การโจมตีเหล่านี้มักใช้หน้าเว็บที่ขับเคลื่อนด้วย Evilginx เพื่อข้ามมาตรการรักษาความปลอดภัยการตรวจสอบสิทธิ์สองปัจจัย (2FA) ผ่านเทคนิค Adversary-in-The-Middle (AiTM) กลุ่มนี้ยังใช้ประโยชน์จากแพลตฟอร์มการตลาดอีเมล เช่น HubSpot และ MailerLite เพื่อปกปิดรายละเอียดผู้ส่งและข้ามตัวกรองความปลอดภัย
การหยุดชะงักและการปรับตัว
ความพยายามที่จะควบคุมกิจกรรมของ Star Blizzard ได้รับความสนใจในช่วงปลายปีที่แล้ว เมื่อ Microsoft และกระทรวงยุติธรรมของสหรัฐฯ (DoJ) ยึดโดเมนที่เชื่อมโยงกับกลุ่มนี้มากกว่า 180 โดเมน โดเมนเหล่านี้ถูกใช้เพื่อกำหนดเป้าหมายนักข่าว สถาบันวิจัย และองค์กรพัฒนาเอกชนอย่างแข็งขันระหว่างเดือนมกราคม 2023 ถึงเดือนสิงหาคม 2024 การเปิดเผยต่อสาธารณะที่มากขึ้นเกี่ยวกับปฏิบัติการเหล่านี้อาจทำให้กลุ่มต้องปรับกลยุทธ์ ส่งผลให้เกิดแคมเปญที่เน้นที่ WhatsApp เมื่อเร็ว ๆ นี้
แผนการฟิชชิ่งทาง WhatsApp ถูกเปิดเผย
แคมเปญล่าสุดเริ่มต้นด้วยอีเมลฟิชชิ่งที่แอบอ้างว่าเป็นข้อความจากเจ้าหน้าที่รัฐบาลสหรัฐฯ วิธีการหลอกลวงนี้เพิ่มความน่าเชื่อถือและเพิ่มโอกาสในการมีส่วนร่วมจากเป้าหมาย อีเมลดังกล่าวมีรหัส QR ซึ่งอ้างว่าเชิญชวนผู้รับให้เข้าร่วมกลุ่ม WhatsApp ที่อุทิศให้กับการสนับสนุนองค์กรพัฒนาเอกชนในยูเครน อย่างไรก็ตาม รหัสดังกล่าวถูกเจาะโดยเจตนา ทำให้เหยื่อตอบกลับ
การหลอกลวงหลายขั้นตอน
เมื่อได้รับการตอบกลับ Star Blizzard จะส่งอีเมลตอบกลับเพื่อขอโทษสำหรับปัญหาดังกล่าวและมอบลิงก์ย่อ t.ly ไปยังกลุ่ม WhatsApp การคลิกลิงก์ดังกล่าวจะนำเป้าหมายไปยังเว็บเพจที่แนะนำให้สแกนรหัส QR อื่น อย่างไรก็ตาม แทนที่จะให้สิทธิ์การเข้าถึงแก่กลุ่มที่ถูกต้อง รหัส QR นี้เป็นกับดักที่ออกแบบมาเพื่อใช้ประโยชน์จากคุณสมบัติการเชื่อมโยงบัญชีของ WhatsApp โดยให้ผู้โจมตีเข้าถึงข้อความและข้อมูลโดยไม่ได้รับอนุญาต
การใช้ประโยชน์จากคุณสมบัติของ WhatsApp
เหยื่อที่ทำตามคำแนะนำในเว็บไซต์หลอกลวง ('aerofluidthermo.org') โดยไม่รู้ตัว ยินยอมให้ Star Blizzard แทรกซึมบัญชี WhatsApp ของพวกเขา วิธีการนี้ทำให้ผู้โจมตีสามารถขโมยข้อความและข้อมูลสำคัญอื่นๆ ได้ โดยอาจใช้ส่วนขยายเบราว์เซอร์
มาตรการป้องกันสำหรับบุคคลที่มีความเสี่ยง
ผู้ที่ทำงานด้านรัฐบาล การทูต นโยบายด้านการป้องกันประเทศ หรือความสัมพันธ์ระหว่างประเทศ โดยเฉพาะผู้ที่มีความสัมพันธ์กับยูเครน ควรระมัดระวังในการจัดการอีเมลที่มีลิงก์ไปยังแหล่งข้อมูลภายนอก การตรวจสอบความถูกต้องของข้อความที่ไม่คาดคิดก่อนคลิกลิงก์หรือสแกนรหัส QR ถือเป็นสิ่งสำคัญในการหลีกเลี่ยงการถูกบุกรุก
ภัยคุกคามทางไซเบอร์ที่คงอยู่และเปลี่ยนแปลงตลอดเวลา
แคมเปญล่าสุดนี้เน้นย้ำถึงความสามารถในการปรับตัวและความมุ่งมั่นของ Star Blizzard ที่จะดำเนินปฏิบัติการฟิชชิ่งต่อไป แม้จะประสบปัญหาซ้ำแล้วซ้ำเล่า การเปลี่ยนมาใช้การฟิชชิ่งผ่าน WhatsApp แสดงให้เห็นว่ากลุ่มสามารถพัฒนากลวิธีต่างๆ ได้ ซึ่งเน้นย้ำถึงความจำเป็นในการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์และมาตรการป้องกันในกลุ่มบุคคลและองค์กรที่เป็นเป้าหมาย
