Μετά από πολλαπλές εκθέσεις και διακοπές, ένας ηθοποιός προηγμένης επίμονης απειλής (APT) που χρηματοδοτείται από το Κρεμλίνο αναβάθμισε για άλλη μια φορά τις τεχνικές του για φοροδιαφυγή. Ωστόσο, αυτή η κίνηση αποκαλύφθηκε επίσης αυτή την εβδομάδα, από τη Microsoft.
Το "Star Blizzard" (γνωστός και ως Seaborgium, BlueCharlie, Callisto Group και Coldriver) διενεργεί κλοπή διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου σε υπηρεσία κυβερνοκατασκοπείας και εκστρατειών επιρροής στον κυβερνοχώρο τουλάχιστον από το 2017. Ιστορικά, έχει επικεντρώσει τον στόχο του σε δημόσιους και ιδιωτικούς οργανισμούς στο ΝΑΤΟ χώρες μέλη, συνήθως σε τομείς που σχετίζονται με την πολιτική, την άμυνα και συναφείς τομείς — ΜΚΟ, δεξαμενές σκέψης, δημοσιογράφους, ακαδημαϊκά ιδρύματα, διακυβερνητικούς οργανισμούς κ.λπ. Τα τελευταία χρόνια, έχει στοχεύσει ιδιαίτερα άτομα και οργανισμούς που παρέχουν υποστήριξη στην Ουκρανία.
Αλλά για κάθε επιτυχημένη παραβίαση, το Star Blizzard είναι επίσης γνωστό για τις αποτυχίες του OpSec. Microsoft διέκοψε την ομάδα τον Αύγουστο του 2022 και, από τότε, το Recorded Future το έχει παρακολουθήσει καθώς δεν ήταν και τόσο διακριτικά προσπάθησε να στραφεί σε νέες υποδομές. Και την Πέμπτη, η Microsoft επέστρεψε για να αναφέρει τις τελευταίες προσπάθειές της για φοροδιαφυγή. Αυτές οι προσπάθειες περιλαμβάνουν πέντε βασικά νέα κόλπα, με πιο αξιοσημείωτο τον οπλισμό των πλατφορμών μάρκετινγκ ηλεκτρονικού ταχυδρομείου.
Η Microsoft αρνήθηκε να σχολιάσει αυτό το άρθρο.
Τα τελευταία TTP της Star Blizzard
Για να σας βοηθήσει να ξεπεράσετε κρυφά τα φίλτρα email, το Star Blizzard άρχισε να χρησιμοποιεί έγγραφα που προστατεύονται με κωδικό πρόσβασης PDF ή συνδέσμους σε πλατφόρμες κοινής χρήσης αρχείων που βασίζονται σε σύννεφο με τα προστατευμένα PDF που περιέχονται μέσα. Οι κωδικοί πρόσβασης σε αυτά τα έγγραφα συνήθως συσκευάζονται στο ίδιο email ηλεκτρονικού ψαρέματος ή σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που αποστέλλεται λίγο μετά το πρώτο.
Ως μικρά εμπόδια για πιθανή ανθρώπινη ανάλυση, το Star Blizzard έχει αρχίσει να χρησιμοποιεί έναν πάροχο υπηρεσίας ονόματος τομέα (DNS) ως αντίστροφο διακομιστή μεσολάβησης - αποκρύπτοντας τις διευθύνσεις IP που σχετίζονται με τους εικονικούς ιδιωτικούς διακομιστές του (VPS) - και αποσπάσματα JavaScript από την πλευρά του διακομιστή που προορίζονται να αποτρέψουν την αυτοματοποίηση σάρωση της υποδομής του.
Χρησιμοποιεί επίσης έναν πιο τυχαιοποιημένο αλγόριθμο δημιουργίας τομέα (DGA), για να κάνει την ανίχνευση μοτίβων στους τομείς του πιο περίπλοκη. Όπως επισημαίνει η Microsoft ωστόσο, οι τομείς Star Blizzard εξακολουθούν να μοιράζονται ορισμένα καθοριστικά χαρακτηριστικά: είναι συνήθως εγγεγραμμένοι στο Namecheap, σε ομάδες που χρησιμοποιούν συχνά παρόμοιες συμβάσεις ονομασίας και διαθέτουν πιστοποιήσεις TLS από το Let's Encrypt.
Και εκτός από τα μικρότερα κόλπα, η Star Blizzard έχει αρχίσει να χρησιμοποιεί τις υπηρεσίες μάρκετινγκ ηλεκτρονικού ταχυδρομείου Mailerlite και HubSpot για να διευθύνει τις εκστρατείες phishing.
Χρήση μάρκετινγκ ηλεκτρονικού ταχυδρομείου για ηλεκτρονικό ψάρεμα
Όπως εξήγησε η Microsoft στο blog της, «ο ηθοποιός χρησιμοποιεί αυτές τις υπηρεσίες για να δημιουργήσει μια καμπάνια email, η οποία τους παρέχει έναν αποκλειστικό υποτομέα στην υπηρεσία που χρησιμοποιείται στη συνέχεια για τη δημιουργία διευθύνσεων URL. Αυτές οι διευθύνσεις URL λειτουργούν ως το σημείο εισόδου σε μια αλυσίδα ανακατεύθυνσης που καταλήγει σε ελεγχόμενο από τους ηθοποιούς Υποδομή διακομιστή Evilginx. Οι υπηρεσίες μπορούν επίσης να παρέχουν στον χρήστη μια αποκλειστική διεύθυνση email ανά διαμορφωμένη καμπάνια email, την οποία ο παράγοντας απειλής έχει δει ότι χρησιμοποιεί ως διεύθυνση «Από» στις καμπάνιες του».
Μερικές φορές οι χάκερ έχουν διασταυρωθεί τακτικές, ενσωματώνοντας στο σώμα των PDF που προστατεύονται με κωδικό πρόσβασης τις διευθύνσεις URL μάρκετινγκ ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν για να ανακατευθύνουν στους κακόβουλους διακομιστές τους. Αυτός ο συνδυασμός καταργεί την ανάγκη να συμπεριλάβει τη δική του υποδομή τομέα στα μηνύματα ηλεκτρονικού ταχυδρομείου.
«Η χρήση πλατφορμών που βασίζονται σε σύννεφο όπως το HubSpot, το MailerLite και οι εικονικοί ιδιωτικοί διακομιστές (VPS) που συνεργάζονται με σενάρια από την πλευρά του διακομιστή για την αποτροπή της αυτοματοποιημένης σάρωσης είναι μια ενδιαφέρουσα προσέγγιση», εξηγεί ο αναλυτής πληροφοριών απειλών της Recorded Future Insikt, Zoey Selman, «καθώς επιτρέπει στο BlueCharlie να ρυθμίσει παραμέτρους επιτρέποντας να ανακατευθύνουν το θύμα στην υποδομή του παράγοντα απειλής μόνο όταν πληρούνται οι απαιτήσεις."
Πρόσφατα, οι ερευνητές παρατήρησαν την ομάδα να χρησιμοποιεί υπηρεσίες μάρκετινγκ ηλεκτρονικού ταχυδρομείου για να στοχεύει δεξαμενές σκέψης και ερευνητικούς οργανισμούς, χρησιμοποιώντας ένα κοινό δέλεαρ, με στόχο την απόκτηση διαπιστευτηρίων για μια πύλη διαχείρισης επιχορηγήσεων των ΗΠΑ.
Η ομάδα γνώρισε και κάποια άλλη πρόσφατη επιτυχία, σημειώνει ο Selman, «κυρίως εναντίον κυβερνητικών αξιωματούχων του Ηνωμένου Βασιλείου σε επιχειρήσεις συλλογής διαπιστευτηρίων και hack-and-leak που χρησιμοποιούνται σε επιχειρήσεις επιρροής, όπως εναντίον του πρώην επικεφαλής της βρετανικής MI6 Richard Dearlove, Βρετανού Ο βουλευτής Stewart McDonald, και είναι γνωστό ότι προσπάθησε τουλάχιστον να βάλει στο στόχαστρο τους υπαλλήλους ορισμένων από τα πιο υψηλού προφίλ εθνικά πυρηνικά εργαστήρια των ΗΠΑ».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked
- :έχει
- :είναι
- :δεν
- 2017
- 7
- a
- ακαδημαϊκής
- Πράξη
- διεύθυνση
- διευθύνσεις
- προηγμένες
- Μετά το
- πάλι
- κατά
- Ενισχύσεις
- στοχεύουν
- aka
- αλγόριθμος
- επιτρέπουν
- Επίσης
- an
- ανάλυση
- αναλυτής
- και
- πλησιάζω
- APT
- ΕΙΝΑΙ
- άρθρο
- AS
- συσχετισμένη
- At
- προσπάθεια
- Αύγουστος
- Αυτοματοποιημένη
- BE
- ήταν
- άρχισε
- εκτός
- Μπλοκ
- σώμα
- παραβίαση
- Βρετανοί
- by
- Εκστρατεία
- Καμπάνιες
- CAN
- μεταφέρουν
- ορισμένες
- πιστοποιήσεις
- αλυσίδα
- χαρακτηριστικά
- αρχηγός
- Ελάτε
- σχόλιο
- Κοινός
- έχει ρυθμιστεί
- που περιέχονται
- συμβάσεις
- χώρες
- δημιουργία
- ΠΙΣΤΟΠΟΙΗΤΙΚΟ
- Διαπιστεύσεις
- Crossed
- δυσκίνητος
- στον κυβερνοχώρο
- αφιερωμένο
- Άμυνα
- καθορίζοντας
- σκηνοθεσία
- διαταραχές
- dns
- έγγραφα
- τομέα
- Όνομα Χώρου
- domains
- προσπάθειες
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- Email Marketing
- ενσωμάτωση
- υπαλλήλους
- δίνει τη δυνατότητα
- κατάληξη
- καταχώριση
- ειδικά
- φοροδιαφυγής
- Κάθε
- εξήγησε
- Εξηγεί
- εκτεθειμένος
- αποτυχίες
- Πεδία
- Αρχεία
- Φίλτρα
- Όνομα
- πέντε
- επικεντρώθηκε
- Για
- Πρώην
- από
- μελλοντικός
- γενεά
- γκολ
- Κυβέρνηση
- Κυβερνητικοί υπάλληλοι
- επιχορηγήσεις
- Group
- Ομάδα
- χάκερ
- Έχω
- Ψηλά
- ιστορικά
- Ωστόσο
- HTTPS
- HubSpot
- ανθρώπινος
- in
- περιλαμβάνουν
- άτομα
- επιρροή
- Υποδομή
- ιδρυμάτων
- Νοημοσύνη
- προορίζονται
- ενδιαφέρον
- IP
- Διευθύνσεις IP
- IT
- ΤΟΥ
- το JavaScript
- Δημοσιογράφοι
- jpg
- γνωστός
- εργαστήρια
- αργότερο
- ελάχιστα
- ας
- Μου αρέσει
- ΣΥΝΔΕΣΜΟΙ
- κάνω
- διαχείριση
- Μάρκετινγκ
- MCDONALD
- μέλος
- πληρούνται
- Microsoft
- περισσότερο
- πλέον
- μετακινήσετε
- πολλαπλούς
- όνομα
- Υπηρεσία ονόματος
- Namecheap
- ονοματοδοσία
- εθνικός
- Ανάγκη
- Νέα
- ΜΚΟ
- ιδιαίτερα
- Notes
- πυρηνικών
- την απόκτηση
- of
- υπάλληλοι
- συχνά
- on
- μια φορά
- αποκλειστικά
- λειτουργίες
- or
- οργανώσεις
- ΑΛΛΑ
- έξω
- δική
- συσκευάζονται
- παράμετροι
- Εντριβής περί τα κοινοβουλευτικά
- συνεργάστηκε
- Κωδικοί πρόσβασης
- Το παρελθόν
- πρότυπα
- για
- Phishing
- Πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- σημεία
- πολιτική
- Πύλη
- δυναμικού
- πρόληψη
- πρωταρχικός
- ιδιωτικός
- Προφίλ ⬇️
- προστατεύονται
- παρέχουν
- προμηθευτής
- παρέχει
- χορήγηση
- πληρεξούσιο
- δημόσιο
- Τυχαία
- RE
- πρόσφατος
- καταγράφονται
- διευθύνω πάλιν
- καταχωρηθεί
- σχετίζεται με
- Αφαιρεί
- αναφέρουν
- απαιτήσεις
- έρευνα
- ερευνητές
- αντιστρέψει
- Richard
- οδοφράγματα
- Russia
- s
- ίδιο
- σάρωσης
- Εφαρμογές
- Τομείς
- δει
- αποστέλλονται
- διακομιστής
- Διακομιστές
- υπηρεσία
- Υπηρεσίες
- σειρά
- Κοινοποίηση
- μοιράζονται
- αλλαγή
- Σύντομα
- παρόμοιες
- αφού
- small
- μικρότερος
- So
- μερικοί
- Άθλημα
- Αστέρι
- ξεκίνησε
- Stealth
- Stewart
- Ακόμη
- επιτυχία
- επιτυχής
- τέτοιος
- υποστήριξη
- τακτική
- Δεξαμενές
- στόχος
- στοχευμένες
- τεχνικές
- ότι
- Η
- κλοπή
- τους
- Τους
- τότε
- Αυτοί
- αυτοί
- νομίζω
- αυτό
- αυτή την εβδομάδα
- απειλή
- Πέμπτη
- ώρα
- προς την
- συνήθως
- μας
- Uk
- Βρετανική κυβέρνηση
- Ukraine
- αναβαθμιστεί
- αναβαθμίσεις
- us
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιεί
- χρησιμοποιώντας
- χρησιμοποιώ
- Θύμα
- Πραγματικός
- ήταν
- εβδομάδα
- ΛΟΙΠΌΝ
- πότε
- Ποιό
- με
- εντός
- χρόνια
- zephyrnet