Star Blizzard olarak bilinen Rus tehdit aktörü, kurbanların WhatsApp hesaplarını hedef alan yeni bir hedef odaklı kimlik avı kampanyasıyla ilişkilendirildi ve muhtemelen tespit edilmekten kaçınmak için uzun süredir devam eden ticari faaliyetinden ayrıldığının sinyalini verdi.
Microsoft Tehdidi, “Star Blizzard’ın hedefleri çoğunlukla hükümet veya diplomasi (hem görevdeki hem de eski pozisyon sahipleri), savunma politikası veya çalışmaları Rusya’ya dokunan uluslararası ilişkiler araştırmacıları ve Rusya ile savaşla ilgili olarak Ukrayna’ya yardım sağlayan kaynaklarla ilgilidir.” İstihbarat ekibi The Hacker News ile paylaştığı bir raporda şunları söyledi.
Star Blizzard (eski adıyla SEABORGIUM), kimlik bilgisi toplama kampanyalarıyla bilinen, Rusya bağlantılı bir tehdit faaliyeti kümesidir. En az 2012’den beri aktif olan bu grup aynı zamanda Blue Callisto, BlueCharlie (veya TAG-53), Calisto (alternatif olarak Callisto olarak da yazılır), COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 ve UNC4057 takma adlarıyla da izlenmektedir.
Daha önce gözlemlenen saldırı zincirleri, ilgilenilen hedeflere, genellikle bir Proton hesabından hedef odaklı kimlik avı e-postaları göndermeyi, kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını toplayabilen Evilginx destekli bir sayfaya yönlendiren kötü amaçlı bağlantılar içeren belgeler eklemeyi içeriyordu. ortadaki düşman (AiTM) saldırısı.
Star Blizzard ayrıca, gerçek e-posta gönderen adreslerini gizlemek ve e-posta mesajlarına aktör kontrollü alan altyapısı ekleme ihtiyacını ortadan kaldırmak için HubSpot ve MailerLite gibi e-posta pazarlama platformlarının kullanımıyla da ilişkilendirildi.
Geçtiğimiz yılın sonlarında Microsoft ve ABD Adalet Bakanlığı (DoJ), Ocak 2023 ile Ağustos 2024 arasında tehdit aktörü tarafından gazetecileri, düşünce kuruluşlarını ve sivil toplum kuruluşlarını (STK’lar) hedef almak için kullanılan 180’den fazla alan adının ele geçirildiğini duyurdu. .
Teknoloji devi, faaliyetlerinin kamuoyuna açıklanmasının, bilgisayar korsanlığı ekibinin WhatsApp hesaplarını tehlikeye atarak taktiklerini değiştirmesine neden olmuş olabileceğini değerlendirdi. Bununla birlikte kampanyanın sınırlı olduğu ve Kasım 2024’ün sonunda sonlandırıldığı görülüyor.
Microsoft’un tehdit istihbarat stratejisi direktörü Sherrod DeGrippo, The Hacker News’e “Hedefler öncelikle hükümete ve hem mevcut hem de eski yetkililer de dahil olmak üzere diplomasi sektörlerine ait” dedi.
“Ayrıca hedefler arasında savunma politikasıyla ilgilenen kişiler, Rusya’ya odaklanan uluslararası ilişkiler araştırmacıları ve Rusya ile savaşla ilgili olarak Ukrayna’ya yardım sağlayanlar da yer alıyor.”
Her şey, ABD’li bir hükümet yetkilisinden geldiği iddia edilen, ona bir meşruiyet maskesi kazandıran ve kurbanın onlarla etkileşime geçme olasılığını artıran bir hedef odaklı kimlik avı e-postasıyla başlıyor.
Mesaj, alıcıları “Ukrayna STK’larını desteklemeyi amaçlayan en son sivil toplum girişimleri” hakkında sözde bir WhatsApp grubuna katılmaya teşvik eden bir hızlı yanıt (QR) kodu içeriyor. Ancak kod, kurbanın yanıt vermesini tetikleyecek şekilde kasıtlı olarak bozulur.
E-posta alıcısının yanıt vermesi durumunda Star Blizzard ikinci bir mesaj göndererek alıcıdan şu adrese tıklamasını ister:[.]WhatsApp grubuna katılmak için bağlantıyı kısaltırken, verdiğimiz rahatsızlıktan dolayı özür dileriz.
Microsoft, “Bu bağlantı takip edildiğinde hedef, gruba katılmak için bir QR kodu taramasının istendiği bir web sayfasına yönlendiriliyor” dedi. “Ancak bu QR kodu aslında WhatsApp tarafından bir hesabı bağlantılı bir cihaza ve/veya WhatsApp Web portalına bağlamak için kullanılıyor.”
Hedefin sitedeki talimatları izlemesi durumunda (“aerofluidthermo[.]org”), bu yaklaşım, tehdit aktörünün WhatsApp mesajlarına yetkisiz erişim sağlamasına ve hatta tarayıcı eklentileri aracılığıyla verileri sızdırmasına olanak tanır.
Star Blizzard’ın hedeflediği sektörlere ait kişilerin, dış kaynaklara bağlantılar içeren e-postaları kullanırken dikkatli olmaları tavsiye edilir.
Kampanya “uzun süredir devam eden Star Blizzard TTP’lerinde bir kırılmaya işaret ediyor ve tehdit aktörünün, operasyonlarında tekrarlanan bozulmalar karşısında bile hassas bilgilere erişim sağlamak için hedef odaklı kimlik avı kampanyalarını sürdürme konusundaki kararlılığını vurguluyor.”