«Целями
Star Blizzard чаще всего становятся представители правительства или дипломатии
(как действующие, так и бывшие лица), исследователи оборонной политики или
международных отношений, чья работа связана с Россией, а также источники помощи
Украине в связи с войной с Россией», — говорится в отчете группы Microsoft
Threat Intelligence , предоставленном The Hacker News.
Star
Blizzard (ранее SEABORGIUM) — это связанный с Россией кластер угроз, известный своими кампаниями
по сбору учетных данных. Действуя по крайней мере с 2012 года, он также отслеживается
под псевдонимами Blue Callisto, BlueCharlie (или TAG-53), Calisto
(альтернативное написание Callisto), COLDRIVER, Dancing Salome, Gossamer Bear,
Iron Frontier, TA446 и UNC4057.
_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE.png){kind=spacer}
Ранее
наблюдавшиеся цепочки атак включали отправку
фишинговых писем интересующим целям, как правило, с учетной записи Proton,
прикрепление документов, содержащих вредоносные ссылки, которые перенаправляют
на страницу, работающую на базе Evilginx, способную собирать учетные данные и
коды двухфакторной аутентификации (2FA) с помощью атаки «злоумышленник
посередине» (AiTM).
Компанию
Star Blizzard также связывают с использованием платформ email-маркетинга, таких
как HubSpot и MailerLite, для сокрытия настоящих адресов отправителей
электронной почты и устранения необходимости включения контролируемой
злоумышленником доменной инфраструктуры в сообщения электронной почты.
В конце
прошлого года Microsoft и Министерство юстиции США объявили об аресте более
180 доменов, которые использовались злоумышленниками для атак на журналистов,
аналитические центры и неправительственные организации (НПО) в период с января
2023 года по август 2024 года.
«Цели в
первую очередь относятся к правительственному и дипломатическому секторам,
включая как действующих, так и бывших чиновников», — рассказал The Hacker News
Шеррод ДеГриппо, директор по стратегии разведки угроз в Microsoft.
«Кроме
того, в число целей входят лица, занимающиеся оборонной политикой,
исследователи международных отношений, занимающиеся Россией, и те, кто
оказывает помощь Украине в связи с войной с Россией».
Все
начинается с фишингового электронного письма, которое якобы отправлено
должностным лицом правительства США, чтобы придать ему видимость легитимности и
повысить вероятность того, что жертва вступит с ним в контакт.
_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE.png){kind=spacer}
Сообщение
содержит код быстрого ответа (QR), который призывает получателей присоединиться
к предполагаемой группе WhatsApp, посвященной «последним неправительственным
инициативам, направленным на поддержку украинских НПО». Однако код намеренно
взломан, чтобы вызвать ответ жертвы.
Если
получатель электронного письма ответит, Star Blizzard отправит второе
сообщение, попросив его нажать на сокращенную ссылку at[.]ly, чтобы
присоединиться к группе WhatsApp, и извинившись за причиненные неудобства.
«При
переходе по этой ссылке цель перенаправляется на веб-страницу, где ее просят
отсканировать QR-код, чтобы присоединиться к группе», — пояснила Microsoft.
«Однако этот QR-код на самом деле используется WhatsApp для подключения учетной
записи к связанному
устройству и/или
веб-порталу WhatsApp».
В
случае, если жертва следует инструкциям на сайте («aerofluidthermo[.]org»),
такой подход позволяет злоумышленнику получить несанкционированный доступ к
сообщениям WhatsApp и даже извлечь данные через надстройки браузера.
Лицам,
принадлежащим к секторам, на которые нацелена деятельность Star Blizzard,
рекомендуется проявлять осторожность при работе с электронными письмами,
содержащими ссылки на внешние источники.
Кампания
«знаменует собой перерыв в давних мошеннических схемах Star Blizzard и
подчеркивает упорство злоумышленников в продолжении кампаний целевого фишинга с
целью получения доступа к конфиденциальной информации даже в условиях
повторяющихся сбоев в работе».
Комментариев нет:
Отправить комментарий