Star Blizzard Threat Actor
Ang Russian cyber threat actor na kilala bilang Star Blizzard ay na-link sa isang bagong spear-phishing campaign na nagta-target sa mga WhatsApp account ng mga biktima. Ito ay nagmamarka ng pagbabago mula sa mga karaniwang taktika nito, malamang na naglalayong iwasan ang pagtuklas at mapanatili ang mga operasyon nito sa ilalim ng mas mataas na pagsisiyasat.
Talaan ng mga Nilalaman
Mga High-Profile na Target sa Gobyerno at Diplomasya
Pangunahing pinupuntirya ng Star Blizzard ang mga indibidwal na konektado sa gobyerno at diplomasya, kabilang ang kasalukuyan at dating mga opisyal. Tina-target din nito ang mga mananaliksik na nag-specialize sa patakaran sa pagtatanggol at mga ugnayang pang-internasyonal, lalo na ang mga may kinalaman sa Russia sa trabaho. Ang isa pang pangunahing grupo sa mga crosshair nito ay binubuo ng mga indibidwal at organisasyon na tumutulong sa Ukraine sa patuloy na salungatan sa Russia.
The Infamous Star Blizzard: Isang Patuloy na Banta
Dating kilala bilang SEABORGIUM, ang Star Blizzard ay may mahabang kasaysayan ng mga aktibidad sa cyber mula noong hindi bababa sa 2012. Gumagana ito sa ilalim ng maraming alyas, kabilang ang Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 at UNC4057. Kilala ang grupong ito para sa mga kampanyang pag-aani ng kredensyal nito, na karaniwang ginagawa sa pamamagitan ng mga email na spear-phishing na idinisenyo upang magnakaw ng mga sensitibong kredensyal sa pag-log in.
Isang Kasaysayan ng Mga Mapanlinlang na Taktika
Tradisyunal na ginagamit ng Star Blizzard ang mga phishing na email na ipinadala mula sa mga ProtonMail account, na naglalagay ng mga nakakahamak na link sa mga dokumento upang akitin ang mga biktima na magbigay ng mga kredensyal. Ang mga pag-atakeng ito ay kadalasang gumagamit ng mga page na pinapagana ng Evilginx upang i-bypass ang mga hakbang sa seguridad ng Two-Factor Authentication (2FA) sa pamamagitan ng diskarteng Adversary-in-The-Middle (AiTM). Ginamit din ng grupo ang mga email marketing platform gaya ng HubSpot at MailerLite upang itago ang mga detalye ng nagpadala at i-bypass ang mga filter ng seguridad.
Mga Pagkagambala at Pagbagay
Ang mga pagsisikap na hadlangan ang mga aktibidad ng Star Blizzard ay nakakuha ng traksyon noong huling bahagi ng nakaraang taon nang ang Microsoft at ang US Department of Justice (DoJ) ay kumuha ng mahigit 180 domain na naka-link sa grupo. Ang mga domain na ito ay aktibong ginamit upang i-target ang mga mamamahayag, think tank, at NGO sa pagitan ng Enero 2023 at Agosto 2024. Ang tumaas na pagkakalantad sa publiko ng mga operasyong ito ay maaaring nagpilit sa grupo na ayusin ang mga taktika nito, na humahantong sa kamakailang kampanyang nakatuon sa WhatsApp.
Inilabas ang WhatsApp Phishing Scheme
Ang pinakabagong kampanya ay nagsisimula sa isang spear-phishing na email na nagpapanggap bilang isang mensahe mula sa isang opisyal ng gobyerno ng US. Ang mapanlinlang na diskarte na ito ay nagdaragdag ng kredibilidad at pinapataas ang posibilidad ng pakikipag-ugnayan mula sa target. Naglalaman ang email ng QR code, na sinasabing nag-iimbita sa mga tatanggap na sumali sa isang pangkat ng WhatsApp na nakatuon sa pagsuporta sa mga NGO ng Ukraine. Gayunpaman, ang code ay sadyang nasira, na nag-udyok sa biktima na tumugon.
Isang Multi-Step na Panlilinlang
Sa pagtanggap ng tugon, nagpapadala ang Star Blizzard ng follow-up na email na humihingi ng paumanhin para sa isyu at nagbibigay ng t.ly pinaikling link sa WhatsApp group. Ang pag-click sa link ay nagre-redirect sa target sa isang Web page na nagtuturo sa kanila na mag-scan ng isa pang QR code. Gayunpaman, sa halip na magbigay ng access sa isang lehitimong grupo, ang QR code na ito ay isang bitag na idinisenyo upang samantalahin ang tampok na pag-link ng account ng WhatsApp, na nagbibigay sa mga umaatake ng hindi awtorisadong pag-access sa mga mensahe at data.
Pagsasamantala sa Mga Tampok ng WhatsApp
Ang mga biktima na sumusunod sa mga tagubilin sa mapanlinlang na site ('aerofluidthermo.org') ay hindi sinasadyang pinapayagan ang Star Blizzard na makapasok sa kanilang mga WhatsApp account. Ang pamamaraang ito ay nagbibigay-daan sa mga umaatake na i-exfiltrate ang mga mensahe at iba pang sensitibong data, na posibleng sa pamamagitan ng mga extension ng browser.
Mga Pag-iingat para sa Mga Nasa Panganib na Indibidwal
Ang mga nagtatrabaho sa gobyerno, diplomasya, patakaran sa pagtatanggol, o internasyonal na relasyon—lalo na ang mga may kaugnayan sa Ukraine—ay dapat manatiling mapagbantay kapag humahawak ng mga email na naglalaman ng mga link sa mga panlabas na mapagkukunan. Ang pag-verify sa pagiging tunay ng mga hindi inaasahang mensahe bago mag-click sa mga link o mag-scan ng mga QR code ay napakahalaga para maiwasan ang kompromiso.
Isang Patuloy at Umuunlad na Banta sa Cyber
Itinatampok ng pinakabagong campaign na ito ang kakayahang umangkop at determinasyon ng Star Blizzard na ipagpatuloy ang mga operasyon ng spear-phishing sa kabila ng paulit-ulit na pag-urong. Sa pamamagitan ng paglipat sa WhatsApp phishing, ipinapakita ng grupo ang kakayahan nitong magbago ng mga taktika, na binibigyang-diin ang patuloy na pangangailangan para sa kamalayan sa cybersecurity at mga hakbang sa pagprotekta sa mga naka-target na indibidwal at organisasyon.
