Star Blizzard Threat Actor

俄罗斯网络威胁组织 Star Blizzard 涉嫌针对受害者 WhatsApp 账户发起新的鱼叉式网络钓鱼活动。这标志着该组织改变了以往的策略，可能是为了逃避侦查，并使其运营受到更严格的审查。

政府和外交领域的高调目标

Star Blizzard 主要针对与政府和外交有关的个人，包括现任和前任官员。它还针对专门研究国防政策和国际关系的研究人员，特别是那些与俄罗斯有关的研究者。它瞄准的另一个关键群体是协助乌克兰应对与俄罗斯持续冲突的个人和组织。

臭名昭著的星暴风雪：持续的威胁

Star Blizzard 以前名为 SEABORGIUM，其网络活动历史可至少追溯到 2012 年。该组织使用多个别名，包括 Blue Callisto、BlueCharlie (TAG-53)、Calisto、COLDRIVER、Dancing Salome、Gossamer Bear、Iron Frontier、TA446 和 UNC4057。该组织因其凭证窃取活动而臭名昭著，通常通过旨在窃取敏感登录凭证的鱼叉式网络钓鱼电子邮件来执行。

欺骗手段的历史

Star Blizzard 历来使用从 ProtonMail 帐户发送的网络钓鱼电子邮件，在文档中嵌入恶意链接以诱骗受害者提供凭据。这些攻击通常利用 Evilginx 支持的页面通过中间人 (AiTM) 技术绕过双因素身份验证 (2FA) 安全措施。该组织还利用 HubSpot 和 MailerLite 等电子邮件营销平台来隐藏发件人详细信息并绕过安全过滤器。

中断与适应

去年年底，微软和美国司法部 (DoJ) 查封了与 Star Blizzard 组织有关的 180 多个域名，遏制该组织活动的努力取得了进展。2023 年 1 月至 2024 年 8 月期间，这些域名曾被积极用于针对记者、智库和非政府组织。这些行动的公开曝光率不断提高，可能迫使该组织调整策略，从而导致了最近以 WhatsApp 为重点的行动。

WhatsApp 网络钓鱼骗局曝光

最新的攻击活动始于一封伪装成美国政府官员消息的鱼叉式网络钓鱼电子邮件。这种欺骗性方法增加了可信度，并增加了目标参与的可能性。该电子邮件包含一个二维码，据称邀请收件人加入一个致力于支持乌克兰非政府组织的 WhatsApp 群组。然而，该代码被故意破解，促使受害者做出回应。

多步欺骗

收到回复后，Star Blizzard 会发送一封后续电子邮件，对问题表示道歉，并提供一个 t.ly 缩短的 WhatsApp 群组链接。点击该链接会将目标重定向到一个网页，指示他们扫描另一个二维码。然而，这个二维码并非授予访问合法群组的权限，而是一个旨在利用 WhatsApp 帐户链接功能的陷阱，允许攻击者未经授权访问消息和数据。

利用 WhatsApp 的功能

受害者按照欺骗性网站 ('aerofluidthermo.org') 上的说明操作后，在不知情的情况下允许 Star Blizzard 入侵他们的 WhatsApp 帐户。这种方法使攻击者能够窃取消息和其他敏感数据，可能通过浏览器扩展程序进行。

高危人群的预防措施

从事政府、外交、国防政策或国际关系工作的人员（尤其是与乌克兰有关系的人员）在处理包含外部来源链接的电子邮件时应保持警惕。在点击链接或扫描二维码之前验证意外消息的真实性对于避免受到攻击至关重要。

持续不断且不断演变的网络威胁

此次最新活动凸显了 Star Blizzard 的适应能力和决心，尽管屡遭挫折，他们仍坚持开展鱼叉式网络钓鱼活动。通过转向 WhatsApp 网络钓鱼，该组织展示了其发展策略的能力，强调了目标个人和组织对网络安全意识和保护措施的持续需求。