Актор Star Blizzard Threat
Російський кіберзагрозник, відомий як Star Blizzard, був пов’язаний з новою фішинговою кампанією, націленою на акаунти жертв у WhatsApp. Це означає відхід від його звичайної тактики, яка, ймовірно, спрямована на те, щоб уникнути виявлення та підтримувати свої операції під посиленим контролем.
Зміст
Високі цілі в уряді та дипломатії
Star Blizzard насамперед націлений на осіб, пов’язаних з урядом і дипломатією, включно з діючими та колишніми чиновниками. Він також орієнтований на дослідників, які спеціалізуються на оборонній політиці та міжнародних відносинах, особливо на тих, чия робота стосується Росії. Інша ключова група в його прицілі складається з осіб та організацій, які допомагають Україні в триваючому конфлікті з Росією.
Сумно відома зоряна заметіль: постійна загроза
Раніше відома як SEABORGIUM, Star Blizzard має довгу історію кіберактивності, починаючи принаймні з 2012 року. Вона працює під кількома псевдонімами, зокрема Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier. , TA446 і UNC4057. Ця група сумно відома своїми кампаніями зі збору облікових даних, які зазвичай здійснюються за допомогою фішингових електронних листів, призначених для викрадення конфіденційних облікових даних.
Історія обманної тактики
Star Blizzard традиційно використовує фішингові електронні листи, надіслані з облікових записів ProtonMail, вбудовуючи шкідливі посилання в документи, щоб спонукати жертв надати облікові дані. Ці атаки часто використовують сторінки на базі Evilginx, щоб обійти заходи безпеки двофакторної автентифікації (2FA) за допомогою техніки Adversary-in-The-Middle (AiTM). Група також використовувала маркетингові платформи електронної пошти, такі як HubSpot і MailerLite, щоб приховати дані відправника та обійти фільтри безпеки.
Зриви та адаптації
Зусилля щодо обмеження діяльності Star Blizzard набрали обертів наприкінці минулого року, коли Microsoft і Міністерство юстиції США конфіскували понад 180 доменів, пов’язаних з групою. Ці домени активно використовувалися для нападу на журналістів, аналітичні центри та неурядові організації в період із січня 2023 року по серпень 2024 року. Збільшення публічності цих операцій могло змусити групу змінити свою тактику, що призвело до нещодавньої кампанії, орієнтованої на WhatsApp.
Розкрито фішингову схему WhatsApp
Остання кампанія починається з фішингового електронного листа, виданого за повідомлення від урядовця США. Цей оманливий підхід додає довіри та збільшує ймовірність залучення цілі. Електронний лист містить QR-код, який нібито запрошує одержувачів приєднатися до групи WhatsApp, присвяченої підтримці українських НУО. Однак код навмисно зламується, спонукаючи жертву відповісти.
Багатоетапний обман
Отримавши відповідь, Star Blizzard надсилає електронний лист із вибаченнями за проблему та надсилає дуже скорочене посилання на групу WhatsApp. Натискання посилання перенаправляє ціль на веб-сторінку з інструкцією сканувати інший QR-код. Однак замість надання доступу легітимній групі цей QR-код є пасткою, призначеною для використання функції зв’язування облікових записів WhatsApp, надаючи зловмисникам неавторизований доступ до повідомлень і даних.
Використання функцій WhatsApp
Жертви, які дотримуються інструкцій на оманливому сайті ('aerofluidthermo.org'), несвідомо дозволяють Star Blizzard проникнути в їхні облікові записи WhatsApp. Цей метод дозволяє зловмисникам викрадати повідомлення та інші конфіденційні дані, можливо, через розширення браузера.
Запобіжні заходи для осіб групи ризику
Особи, які працюють в уряді, дипломатії, оборонній політиці чи міжнародних відносинах, особливо ті, хто має зв’язки з Україною, повинні залишатися пильними, обробляючи електронні листи, що містять посилання на зовнішні джерела. Перевірка автентичності неочікуваних повідомлень перед натисканням посилань або скануванням QR-кодів має вирішальне значення для уникнення компромісу.
Постійна кіберзагроза, що розвивається
Ця остання кампанія підкреслює адаптивність і рішучість Star Blizzard продовжувати фішингові операції, незважаючи на неодноразові невдачі. Переходячи до фішингу WhatsApp, група демонструє свою здатність розвивати тактику, підкреслюючи постійну потребу в обізнаності з кібербезпекою та заходах захисту серед цільових осіб і організацій.
