Το "Star Blizzard" APT της Ρωσίας αναβαθμίζει το Stealth του, για να αποκαλυφθεί ξανά

Μετά από πολλαπλές εκθέσεις και διακοπές, ένας ηθοποιός προηγμένης επίμονης απειλής (APT) που χρηματοδοτείται από το Κρεμλίνο αναβάθμισε για άλλη μια φορά τις τεχνικές του για φοροδιαφυγή. Ωστόσο, αυτή η κίνηση αποκαλύφθηκε επίσης αυτή την εβδομάδα, από τη Microsoft.

Το "Star Blizzard" (γνωστός και ως Seaborgium, BlueCharlie, Callisto Group και Coldriver) διενεργεί κλοπή διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου σε υπηρεσία κυβερνοκατασκοπείας και εκστρατειών επιρροής στον κυβερνοχώρο τουλάχιστον από το 2017. Ιστορικά, έχει επικεντρώσει τον στόχο του σε δημόσιους και ιδιωτικούς οργανισμούς στο ΝΑΤΟ χώρες μέλη, συνήθως σε τομείς που σχετίζονται με την πολιτική, την άμυνα και συναφείς τομείς — ΜΚΟ, δεξαμενές σκέψης, δημοσιογράφους, ακαδημαϊκά ιδρύματα, διακυβερνητικούς οργανισμούς κ.λπ. Τα τελευταία χρόνια, έχει στοχεύσει ιδιαίτερα άτομα και οργανισμούς που παρέχουν υποστήριξη στην Ουκρανία.

Αλλά για κάθε επιτυχημένη παραβίαση, το Star Blizzard είναι επίσης γνωστό για τις αποτυχίες του OpSec. Microsoft διέκοψε την ομάδα τον Αύγουστο του 2022 και, από τότε, το Recorded Future το έχει παρακολουθήσει καθώς δεν ήταν και τόσο διακριτικά προσπάθησε να στραφεί σε νέες υποδομές. Και την Πέμπτη, η Microsoft επέστρεψε για να αναφέρει τις τελευταίες προσπάθειές της για φοροδιαφυγή. Αυτές οι προσπάθειες περιλαμβάνουν πέντε βασικά νέα κόλπα, με πιο αξιοσημείωτο τον οπλισμό των πλατφορμών μάρκετινγκ ηλεκτρονικού ταχυδρομείου.

Η Microsoft αρνήθηκε να σχολιάσει αυτό το άρθρο.

Τα τελευταία TTP της Star Blizzard

Για να σας βοηθήσει να ξεπεράσετε κρυφά τα φίλτρα email, το Star Blizzard άρχισε να χρησιμοποιεί έγγραφα που προστατεύονται με κωδικό πρόσβασης PDF ή συνδέσμους σε πλατφόρμες κοινής χρήσης αρχείων που βασίζονται σε σύννεφο με τα προστατευμένα PDF που περιέχονται μέσα. Οι κωδικοί πρόσβασης σε αυτά τα έγγραφα συνήθως συσκευάζονται στο ίδιο email ηλεκτρονικού ψαρέματος ή σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που αποστέλλεται λίγο μετά το πρώτο.

Ως μικρά εμπόδια για πιθανή ανθρώπινη ανάλυση, το Star Blizzard έχει αρχίσει να χρησιμοποιεί έναν πάροχο υπηρεσίας ονόματος τομέα (DNS) ως αντίστροφο διακομιστή μεσολάβησης - αποκρύπτοντας τις διευθύνσεις IP που σχετίζονται με τους εικονικούς ιδιωτικούς διακομιστές του (VPS) - και αποσπάσματα JavaScript από την πλευρά του διακομιστή που προορίζονται να αποτρέψουν την αυτοματοποίηση σάρωση της υποδομής του.

Χρησιμοποιεί επίσης έναν πιο τυχαιοποιημένο αλγόριθμο δημιουργίας τομέα (DGA), για να κάνει την ανίχνευση μοτίβων στους τομείς του πιο περίπλοκη. Όπως επισημαίνει η Microsoft ωστόσο, οι τομείς Star Blizzard εξακολουθούν να μοιράζονται ορισμένα καθοριστικά χαρακτηριστικά: είναι συνήθως εγγεγραμμένοι στο Namecheap, σε ομάδες που χρησιμοποιούν συχνά παρόμοιες συμβάσεις ονομασίας και διαθέτουν πιστοποιήσεις TLS από το Let's Encrypt.

Και εκτός από τα μικρότερα κόλπα, η Star Blizzard έχει αρχίσει να χρησιμοποιεί τις υπηρεσίες μάρκετινγκ ηλεκτρονικού ταχυδρομείου Mailerlite και HubSpot για να διευθύνει τις εκστρατείες phishing.

Χρήση μάρκετινγκ ηλεκτρονικού ταχυδρομείου για ηλεκτρονικό ψάρεμα

Όπως εξήγησε η Microsoft στο blog της, «ο ηθοποιός χρησιμοποιεί αυτές τις υπηρεσίες για να δημιουργήσει μια καμπάνια email, η οποία τους παρέχει έναν αποκλειστικό υποτομέα στην υπηρεσία που χρησιμοποιείται στη συνέχεια για τη δημιουργία διευθύνσεων URL. Αυτές οι διευθύνσεις URL λειτουργούν ως το σημείο εισόδου σε μια αλυσίδα ανακατεύθυνσης που καταλήγει σε ελεγχόμενο από τους ηθοποιούς Υποδομή διακομιστή Evilginx. Οι υπηρεσίες μπορούν επίσης να παρέχουν στον χρήστη μια αποκλειστική διεύθυνση email ανά διαμορφωμένη καμπάνια email, την οποία ο παράγοντας απειλής έχει δει ότι χρησιμοποιεί ως διεύθυνση «Από» στις καμπάνιες του».

Μερικές φορές οι χάκερ έχουν διασταυρωθεί τακτικές, ενσωματώνοντας στο σώμα των PDF που προστατεύονται με κωδικό πρόσβασης τις διευθύνσεις URL μάρκετινγκ ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν για να ανακατευθύνουν στους κακόβουλους διακομιστές τους. Αυτός ο συνδυασμός καταργεί την ανάγκη να συμπεριλάβει τη δική του υποδομή τομέα στα μηνύματα ηλεκτρονικού ταχυδρομείου.

«Η χρήση πλατφορμών που βασίζονται σε σύννεφο όπως το HubSpot, το MailerLite και οι εικονικοί ιδιωτικοί διακομιστές (VPS) που συνεργάζονται με σενάρια από την πλευρά του διακομιστή για την αποτροπή της αυτοματοποιημένης σάρωσης είναι μια ενδιαφέρουσα προσέγγιση», εξηγεί ο αναλυτής πληροφοριών απειλών της Recorded Future Insikt, Zoey Selman, «καθώς επιτρέπει στο BlueCharlie να ρυθμίσει παραμέτρους επιτρέποντας να ανακατευθύνουν το θύμα στην υποδομή του παράγοντα απειλής μόνο όταν πληρούνται οι απαιτήσεις."

Πρόσφατα, οι ερευνητές παρατήρησαν την ομάδα να χρησιμοποιεί υπηρεσίες μάρκετινγκ ηλεκτρονικού ταχυδρομείου για να στοχεύει δεξαμενές σκέψης και ερευνητικούς οργανισμούς, χρησιμοποιώντας ένα κοινό δέλεαρ, με στόχο την απόκτηση διαπιστευτηρίων για μια πύλη διαχείρισης επιχορηγήσεων των ΗΠΑ.

Η ομάδα γνώρισε και κάποια άλλη πρόσφατη επιτυχία, σημειώνει ο Selman, «κυρίως εναντίον κυβερνητικών αξιωματούχων του Ηνωμένου Βασιλείου σε επιχειρήσεις συλλογής διαπιστευτηρίων και hack-and-leak που χρησιμοποιούνται σε επιχειρήσεις επιρροής, όπως εναντίον του πρώην επικεφαλής της βρετανικής MI6 Richard Dearlove, Βρετανού Ο βουλευτής Stewart McDonald, και είναι γνωστό ότι προσπάθησε τουλάχιστον να βάλει στο στόχαστρο τους υπαλλήλους ορισμένων από τα πιο υψηλού προφίλ εθνικά πυρηνικά εργαστήρια των ΗΠΑ».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked