Araştırmacılar ve ulusal siber güvenlik kurumlarının son günlerde Rusya bağlantılı Star Blizzard tehdit aktörünün önemli ayrıntılarını ortaya çıkarmasının ardından grup, kurbanların WhatsApp verilerini hedef alan yeni bir saldırı vektörünü cephaneliğine ekledi.
Microsoft’un Tehdit İstihbaratı ekibi, devam eden savaş karşısında Ukraynalı STK’lara destek konusunu kullanarak kampanyayı geçen yılın sonlarında fark etti.
Callisto, SEABORGIUM veya COLDRIVER olarak da takip edilen Star Blizzard, önceki atıflara göre Rusya’nın FSB’si veya gizli servis memurları tarafından yönetiliyor. Grup, ABD ve Birleşik Krallık’ta Ukrayna ve müttefiklerini destekleyen düzinelerce gazeteciyi, düşünce kuruluşunu ve sivil toplum kuruluşlarını hedef alan yüksek profilli hedeflere yönelik hedef odaklı kimlik avı kampanyalarıyla tanınıyor.
Ayrıca şunu okuyun: Rusya, Star Blizzard’ın İngiltere Seçimlerine Sızma Girişimlerini Destekledi
Star Blizzard Odağını WhatsApp Verilerine Kaydırıyor
Geçmişte, tehdit aktörlerinin ilk enfeksiyon için kimlik avı kampanyaları kullandığı biliniyor. Ancak Microsoft’un Tehdit İstihbaratı ekibi gibi bağımsız siber güvenlik firmaları ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) gibi bu tehdit aktörünün TTP’lerini açığa çıkaran kurumların ayrıntılı tavsiyeleri, onları tespitten kaçınmak için muhtemelen ticari yöntemlerini değiştirmeye zorladı.
Star Blizzard, hedef odaklı kimlik avı kampanyasını kurbanlarının bilgisayar verileri yerine WhatsApp hesaplarını hedef alacak şekilde değiştirdi. Araştırmacılar, tehdit aktörünün ilk kez yeni bir teknik benimsediğini söyledi.
Tehdit aktörü, kötü amaçlı bir bağlantı içeren bir takip e-postası göndermeden önce e-posta yoluyla iletişim başlatır ve hedeflerle etkileşime geçer. Gönderenin adresi, Star Blizzard’ın güvenilirliği artırmak için siyasi veya diplomatik figürleri taklit etme taktiğiyle tutarlı olarak bir ABD hükümet yetkilisinin kimliğine bürünüyor.
İlk e-posta, kullanıcıları Ukrayna STK’larını desteklemeye odaklanan bir WhatsApp grubuna yönlendirdiğini iddia eden bir QR kodu içeriyor. Ancak, alıcının yanıt vermesini sağlamak için QR kodu kasıtlı olarak bozulur. Tehdit aktörü yanıt üzerine Güvenli Bağlantılar içeren ikinci bir e-posta gönderir.[.]Gruba katılmaya alternatif olarak bağlantı kısaltılmıştır.
Bu bağlantıyı takip etmek, hedefi gruba katılmak için bir QR kodu taraması talimatını veren bir sayfaya yönlendirir. Gerçekte QR kodu, kurbanın WhatsApp hesabını tehdit aktörünün cihazına WhatsApp Web aracılığıyla bağlar. Bu, saldırganın kurbanın mesajlarına erişmesine izin vererek, WhatsApp mesajlarını dışa aktarmak için tasarlanmış tarayıcı eklentileri aracılığıyla veri sızmasına olanak tanır.
Microsoft, kampanyanın Kasım 2024’te sona ermesine rağmen, kişi ve kuruluşların, özellikle de hükümet veya diplomasi, savunma, araştırma ve Rusya ile devam eden çatışmada Ukrayna’ya yardımla ilgili olanların, taktiklerdeki bu değişiklikler konusunda dikkatli olmaları ve eğitilmeleri gerektiğini kaydetti.
Microsoft, “Bu tehdit aktörünün ticari zanaattaki değişimine ilişkin farkındalığı artırmak ve kuruluşları bu ve benzeri faaliyetlere karşı saldırı yüzeylerini nasıl güçlendirebilecekleri konusunda eğitmek amacıyla Star Blizzard’ın son faaliyeti hakkındaki bilgilerimizi paylaşıyoruz” dedi.