Star Blizzard Threat Actor

俄羅斯網路威脅組織 Star Blizzard 與受害者 WhatsApp 帳戶的新魚叉式網路釣魚活動有關。這標誌著其慣用策略的轉變，可能旨在逃避檢測並使其運作受到更嚴格的審查。

政府和外交領域的高調目標

星際暴雪主要針對與政府和外交有關的個人，包括現任和前任官員。它也針對專門從事國防政策和國際關係的研究人員，特別是那些工作涉及俄羅斯的研究人員。其瞄準的另一個關鍵團體包括在與俄羅斯持續衝突中協助烏克蘭的個人和組織。

臭名昭著的星際暴風雪：持續的威脅

Star Blizzard 以前稱為 SEABORGIUM，其網路活動歷史悠久，至少可追溯到 2012 年。 、TA446 和UNC4057。該組織因其憑證收集活動而臭名昭著，通常透過旨在竊取敏感登入憑證的魚叉式網路釣魚電子郵件來執行。

欺騙策略的歷史

Star Blizzard 傳統上使用從 ProtonMail 帳戶發送的網路釣魚電子郵件，在文件中嵌入惡意連結來誘騙受害者提供憑證。這些攻擊通常利用 Evilginx 支援的頁面透過中間對手 (AiTM) 技術繞過雙重認證 (2FA) 安全措施。該組織還利用 HubSpot 和 MailerLite 等電子郵件行銷平台來掩蓋寄件者詳細資訊並繞過安全過濾器。

顛覆與適應

去年年底，微軟和美國司法部 (DoJ) 查封了與該組織相關的 180 多個域名，遏制 Star Blizzard 活動的努力獲得了關注。 2023 年1 月至2024 年8 月期間，這些網域被積極用於針對記者、智囊團和非政府組織。 。

WhatsApp 網路釣魚計畫揭曉

最新的攻擊活動始於一封偽裝成美國政府官員訊息的魚叉式網路釣魚電子郵件。這種欺騙性方法增加了可信度並增加了目標參與的可能性。該電子郵件包含一個二維碼，據稱邀請收件者加入致力於支持烏克蘭非政府組織的 WhatsApp 群組。然而，代碼被故意破壞，促使受害者做出反應。

多步驟欺騙

收到回覆後，Star Blizzard 發送了一封後續電子郵件，對問題表示歉意，並提供了 WhatsApp 群組的 t.ly 縮短連結。點擊該連結會將目標重定向到指示他們掃描另一個二維碼的網頁。然而，這個二維碼並不是向合法群組授予存取權限，而是一個陷阱，旨在利用 WhatsApp 的帳戶連結功能，允許攻擊者未經授權存取訊息和資料。

利用 WhatsApp 的功能

按照欺騙性網站（“aerofluidthermo.org”）上的說明進行操作的受害者會在不知情的情況下允許 Star Blizzard 滲透到他們的 WhatsApp 帳戶。此方法使攻擊者能夠透過瀏覽器擴充功能竊取訊息和其他敏感資料。

針對高風險族群的預防措施

那些在政府、外交、國防政策或國際關係領域工作的人，尤其是那些與烏克蘭有聯繫的人，在處理包含外部來源連結的電子郵件時應保持警惕。在點擊連結或掃描二維碼之前驗證意外訊息的真實性對於避免洩漏至關重要。

持續且不斷演變的網路威脅

這次最新的活動凸顯了星暴雪的適應性和決心，儘管屢屢受挫，仍繼續進行魚叉式網路釣魚活動。透過轉向 WhatsApp 網路釣魚，該組織展示了其改進策略的能力，強調了目標個人和組織對網路安全意識和保護措施的持續需求。