Star Blizzard Tehdit Oyuncusu
Star Blizzard olarak bilinen Rus siber tehdit aktörü, kurbanların WhatsApp hesaplarını hedef alan yeni bir mızraklı kimlik avı kampanyasıyla ilişkilendirildi. Bu, muhtemelen tespit edilmekten kaçınmayı ve operasyonlarını artan inceleme altında tutmayı amaçlayan olağan taktiklerinden bir sapmayı işaret ediyor.
İçindekiler
Hükümet ve Diplomasi Alanında Üst Düzey Hedefler
Star Blizzard, öncelikli olarak hükümet ve diplomasi ile bağlantılı kişileri, mevcut ve eski yetkilileri hedef alır. Ayrıca savunma politikası ve uluslararası ilişkiler konusunda uzmanlaşmış araştırmacıları, özellikle de çalışmaları Rusya ile ilgili olanları hedef alır. Hedefindeki bir diğer önemli grup ise Rusya ile devam eden çatışmada Ukrayna'ya yardım eden kişiler ve kuruluşlardır.
Ünlü Yıldız Fırtınası: Sürekli Bir Tehdit
Daha önce SEABORGIUM olarak bilinen Star Blizzard'ın en azından 2012'ye dayanan uzun bir siber faaliyet geçmişi vardır. Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 ve UNC4057 dahil olmak üzere birden fazla takma ad altında faaliyet gösterir. Bu grup, genellikle hassas oturum açma kimlik bilgilerini çalmak için tasarlanmış mızraklı kimlik avı e-postaları aracılığıyla yürütülen kimlik bilgisi toplama kampanyalarıyla ünlüdür.
Aldatıcı Taktiklerin Tarihi
Star Blizzard, kurbanları kimlik bilgilerini vermeye ikna etmek için belgelere kötü amaçlı bağlantılar yerleştirerek ProtonMail hesaplarından gönderilen kimlik avı e-postalarını geleneksel olarak kullanmıştır. Bu saldırılar genellikle Evilginx destekli sayfaları kullanarak Ortadaki Düşman (AiTM) tekniği aracılığıyla İki Faktörlü Kimlik Doğrulama (2FA) güvenlik önlemlerini atlatmaktadır. Grup ayrıca gönderici ayrıntılarını gizlemek ve güvenlik filtrelerini atlatmak için HubSpot ve MailerLite gibi e-posta pazarlama platformlarından da yararlanmıştır.
Kesintiler ve Uyumlar
Star Blizzard'ın faaliyetlerini engelleme çabaları, Microsoft ve ABD Adalet Bakanlığı'nın (DoJ) grupla bağlantılı 180'den fazla alan adına el koymasıyla geçen yılın sonlarında ivme kazandı. Bu alan adları Ocak 2023 ile Ağustos 2024 arasında gazetecileri, düşünce kuruluşlarını ve STK'ları hedef almak için aktif olarak kullanılmıştı. Bu operasyonların kamuoyunda daha fazla görünür olması, grubun taktiklerini ayarlamasına neden olmuş olabilir ve bu da yakın zamanda WhatsApp odaklı kampanyaya yol açmış olabilir.
WhatsApp Kimlik Avı Planı Ortaya Çıktı
Son kampanya, ABD hükümet yetkilisinden gelen bir mesaj gibi görünen bir mızraklı kimlik avı e-postasıyla başlıyor. Bu aldatıcı yaklaşım, güvenilirliği artırıyor ve hedeften etkileşim olasılığını artırıyor. E-posta, alıcıları Ukrayna STK'larını desteklemeye adanmış bir WhatsApp grubuna katılmaya davet ettiği iddia edilen bir QR kodu içeriyor. Ancak kod kasıtlı olarak kırılmış ve kurbanı yanıt vermeye teşvik ediyor.
Çok Adımlı Bir Aldatmaca
Bir cevap aldıktan sonra, Star Blizzard sorun için özür dileyen ve WhatsApp grubuna t.ly'de kısaltılmış bir bağlantı sağlayan bir takip e-postası gönderir. Bağlantıya tıklamak hedefi başka bir QR kodunu taramasını söyleyen bir Web sayfasına yönlendirir. Ancak, meşru bir gruba erişim izni vermek yerine, bu QR kodu WhatsApp'ın hesap bağlama özelliğini istismar etmek için tasarlanmış bir tuzaktır ve saldırganlara mesajlara ve verilere yetkisiz erişim sağlar.
WhatsApp’ın Özelliklerini Kullanma
Aldatıcı sitedeki ('aerofluidthermo.org') talimatları izleyen kurbanlar, Star Blizzard'ın WhatsApp hesaplarına bilmeden sızmasına izin veriyor. Bu yöntem, saldırganların mesajları ve diğer hassas verileri, potansiyel olarak tarayıcı uzantıları aracılığıyla sızdırmalarını sağlıyor.
Risk Altındaki Bireyler İçin Önlem Tedbirleri
Hükümet, diplomasi, savunma politikası veya uluslararası ilişkilerde çalışanlar (özellikle Ukrayna ile bağlantıları olanlar) harici kaynaklara bağlantılar içeren e-postaları ele alırken dikkatli olmalıdır. Bağlantılara tıklamadan veya QR kodlarını taramadan önce beklenmeyen mesajların gerçekliğini doğrulamak, uzlaşmayı önlemek için çok önemlidir.
Kalıcı ve Gelişen Bir Siber Tehdit
Bu son kampanya, Star Blizzard'ın tekrarlanan aksiliklere rağmen spear-phishing operasyonlarını sürdürme konusundaki uyum yeteneğini ve kararlılığını vurguluyor. WhatsApp phishing'e geçerek grup, taktikleri geliştirme yeteneğini gösteriyor ve hedeflenen bireyler ve kuruluşlar arasında siber güvenlik farkındalığı ve koruyucu önlemlere yönelik devam eden ihtiyacın altını çiziyor.
