Diễn viên đe dọa Star Blizzard

Nhóm tin tặc Nga có tên là Star Blizzard đã bị phát hiện có liên quan đến một chiến dịch lừa đảo mới nhắm vào tài khoản WhatsApp của nạn nhân. Đây là sự thay đổi so với các chiến thuật thông thường của nhóm này, có thể là nhằm mục đích trốn tránh bị phát hiện và duy trì hoạt động của nhóm dưới sự giám sát chặt chẽ hơn.

Mục tiêu cấp cao trong Chính phủ và Ngoại giao

Star Blizzard chủ yếu nhắm vào những cá nhân có liên quan đến chính phủ và ngoại giao, bao gồm các quan chức hiện tại và trước đây. Nó cũng nhắm vào các nhà nghiên cứu chuyên về chính sách quốc phòng và quan hệ quốc tế, đặc biệt là những người có công việc liên quan đến Nga. Một nhóm quan trọng khác trong tầm ngắm của nó bao gồm các cá nhân và tổ chức hỗ trợ Ukraine trong cuộc xung đột đang diễn ra với Nga.

Trận bão tuyết Star Blizzard khét tiếng: Mối đe dọa dai dẳng

Trước đây được gọi là SEABORGIUM, Star Blizzard có lịch sử lâu dài về các hoạt động mạng có từ ít nhất là năm 2012. Nhóm này hoạt động dưới nhiều bí danh, bao gồm Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 và UNC4057. Nhóm này khét tiếng với các chiến dịch thu thập thông tin xác thực, thường được thực hiện thông qua email lừa đảo có chủ đích được thiết kế để đánh cắp thông tin đăng nhập nhạy cảm.

Lịch sử của các chiến thuật lừa đảo

Star Blizzard theo truyền thống sử dụng email lừa đảo được gửi từ tài khoản ProtonMail, nhúng các liên kết độc hại vào tài liệu để dụ nạn nhân cung cấp thông tin xác thực. Các cuộc tấn công này thường sử dụng các trang do Evilginx cung cấp để bỏ qua các biện pháp bảo mật Xác thực hai yếu tố (2FA) thông qua kỹ thuật Kẻ thù ở giữa (AiTM). Nhóm này cũng đã tận dụng các nền tảng tiếp thị qua email như HubSpot và MailerLite để che giấu thông tin chi tiết về người gửi và bỏ qua các bộ lọc bảo mật.

Sự gián đoạn và sự thích nghi

Những nỗ lực nhằm hạn chế các hoạt động của Star Blizzard đã thu hút được sự chú ý vào cuối năm ngoái khi Microsoft và Bộ Tư pháp Hoa Kỳ (DoJ) tịch thu hơn 180 tên miền có liên quan đến nhóm này. Các tên miền này đã được sử dụng tích cực để nhắm mục tiêu vào các nhà báo, nhóm nghiên cứu và tổ chức phi chính phủ trong khoảng thời gian từ tháng 1 năm 2023 đến tháng 8 năm 2024. Việc các hoạt động này được công khai nhiều hơn có thể đã buộc nhóm này phải điều chỉnh chiến thuật của mình, dẫn đến chiến dịch tập trung vào WhatsApp gần đây.

Tiết lộ chiêu trò lừa đảo WhatsApp

Chiến dịch mới nhất bắt đầu bằng một email lừa đảo mạo danh là tin nhắn từ một viên chức chính phủ Hoa Kỳ. Cách tiếp cận lừa đảo này làm tăng thêm độ tin cậy và tăng khả năng tương tác từ mục tiêu. Email chứa mã QR, được cho là mời người nhận tham gia nhóm WhatsApp chuyên hỗ trợ các tổ chức phi chính phủ của Ukraine. Tuy nhiên, mã này bị phá vỡ một cách cố ý, khiến nạn nhân phải trả lời.

Một sự lừa dối nhiều bước

Sau khi nhận được phản hồi, Star Blizzard gửi email tiếp theo xin lỗi về sự cố và cung cấp liên kết rút gọn t.ly đến nhóm WhatsApp. Nhấp vào liên kết sẽ chuyển hướng mục tiêu đến một trang web hướng dẫn họ quét mã QR khác. Tuy nhiên, thay vì cấp quyền truy cập vào một nhóm hợp pháp, mã QR này là một cái bẫy được thiết kế để khai thác tính năng liên kết tài khoản của WhatsApp, cấp cho kẻ tấn công quyền truy cập trái phép vào tin nhắn và dữ liệu.

Khai thác các tính năng của WhatsApp

Nạn nhân làm theo hướng dẫn trên trang web lừa đảo ('aerofluidthermo.org') vô tình cho phép Star Blizzard xâm nhập vào tài khoản WhatsApp của họ. Phương pháp này cho phép kẻ tấn công đánh cắp tin nhắn và dữ liệu nhạy cảm khác, có khả năng thông qua tiện ích mở rộng của trình duyệt.

Các biện pháp phòng ngừa cho những cá nhân có nguy cơ

Những người làm việc trong chính phủ, ngoại giao, chính sách quốc phòng hoặc quan hệ quốc tế—đặc biệt là những người có quan hệ với Ukraine—nên luôn cảnh giác khi xử lý email có chứa liên kết đến các nguồn bên ngoài. Xác minh tính xác thực của các tin nhắn bất ngờ trước khi nhấp vào liên kết hoặc quét mã QR là rất quan trọng để tránh bị xâm phạm.

Một mối đe dọa mạng dai dẳng và đang phát triển

Chiến dịch mới nhất này nhấn mạnh khả năng thích ứng và quyết tâm của Star Blizzard trong việc tiếp tục các hoạt động lừa đảo qua email bất chấp những thất bại liên tiếp. Bằng cách chuyển sang lừa đảo qua WhatsApp, nhóm này chứng minh khả năng phát triển các chiến thuật, nhấn mạnh nhu cầu liên tục về nhận thức an ninh mạng và các biện pháp bảo vệ giữa các cá nhân và tổ chức bị nhắm mục tiêu.