Rusya Federal Güvenlik Servisi’ne (FSB) bağlı bir tehdit aktörü olan Star Blizzard’ın, akıllı bir kimlik avı kampanyası yoluyla hedeflerin WhatsApp hesaplarını ele geçirmeye çalıştığı görüldü.
kampanya
Kampanya, bir ABD hükümet yetkilisi tarafından gönderilmiş gibi görünen bir hedef odaklı kimlik avı e-postasıyla başladı.
“Ukrayna’yı desteklemeyi amaçlayan en son sivil toplum girişimlerine ilişkin tartışmaları kolaylaştırmak için özel bir WhatsApp grubu kurduk. Bu platform aynı zamanda hükümet tarafından bu amaç için tahsis edilen fonların dağıtımını koordine etme aracı olarak da hizmet edecek” diyor e-postada. “Aşağıdaki QR kodunu kullanarak bize katılabilirsiniz.”
Ancak QR kodu çalışmıyor ve mağduru cevap vermeye zorluyor. Saldırganlar daha sonra QR kodu yerine kısaltılmış bağlantı içeren ikinci bir e-posta gönderiyor.
Bağlantı, gruba katılmak için birkaç adımı tamamlamalarını isteyen sahte bir WhatsApp web sayfasına yönlendiriyor.
QR kodunun gizlendiği sahte WhatsApp sayfası (Kaynak: Microsoft Threat Intelligence)
Microsoft’un tehdit analistleri, “Ancak bu QR kodu aslında WhatsApp tarafından bir hesabı bağlantılı bir cihaza ve/veya WhatsApp Web portalına bağlamak için kullanılıyor” dedi.
“Bu, hedefin bu sayfadaki talimatları izlemesi durumunda tehdit aktörünün WhatsApp hesabındaki mesajlara erişebileceği ve bir hesaptan WhatsApp mesajlarını dışarı aktarmak için tasarlanmış mevcut tarayıcı eklentilerini kullanarak bu verileri sızdırma yeteneğine sahip olabileceği anlamına geliyor. WhatsApp Web üzerinden erişildi.”
Star Blizzard Hakkında
Kampanyanın sivil toplum kuruluşu (STK) çalışanlarına yönelik olduğu görülüyor ve Microsoft’a göre kasım ortasında başlayıp ay sonunda sona erdi.
Yine de Star Blizzard’ın taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) nasıl değiştirdiğini ve hedeflerine ulaşmada nasıl ısrar ettiğini gösteriyor.
Tehdit analistleri, “Star Blizzard’ın hedefleri çoğunlukla hükümet veya diplomasi (hem görevdeki hem de eski pozisyon sahipleri), savunma politikası veya çalışmaları Rusya’ya dokunan uluslararası ilişkiler araştırmacıları ve Rusya ile savaşla ilgili olarak Ukrayna’ya yardım sağlayan kaynaklarla ilgilidir” dedi. kaydetti.
Ayrıca ABD’de ikamet eden Rus vatandaşlarını, İngiltere vatandaşlarını ve NATO’ya ait bilgisayar ağlarını da hedef aldıkları biliniyor.
2024’ün sonlarında Microsoft ve ABD Adalet Bakanlığı, grubun kullandığı 100’den fazla alan adına el koydu ve mevcut bir mahkeme işlemi yoluyla her türlü yeni altyapının daha da bozulmasına zemin hazırladı.