L'APT russe « Star Blizzard » améliore sa furtivité, pour ensuite être à nouveau démasqué

Après de multiples révélations et perturbations, un acteur de menace persistante avancée (APT) parrainé par le Kremlin a une fois de plus amélioré ses techniques d'évasion. Cependant, cette décision a également été révélée cette semaine par Microsoft.

« Star Blizzard » (alias Seaborgium, BlueCharlie, Callisto Group et Coldriver) vole des identifiants de messagerie au service de campagnes de cyberespionnage et de cyberinfluence depuis au moins 2017. Historiquement, il a concentré son objectif sur les organisations publiques et privées de l'OTAN. pays membres, généralement dans des domaines liés à la politique, à la défense et aux secteurs connexes – ONG, groupes de réflexion, journalistes, institutions universitaires, organisations intergouvernementales, etc. Ces dernières années, elle a particulièrement ciblé les individus et les organisations qui apportent leur soutien à l’Ukraine.

Mais pour chaque violation réussie, Star Blizzard est également connu pour ses échecs OpSec. Microsoft a perturbé le groupe en août 2022 et, depuis lors, Recorded Future l'a suivi car il n'est pas si subtil a tenté de passer à une nouvelle infrastructure. Et jeudi, Microsoft est revenu pour faire rapport sur ses derniers efforts d'évasion. Ces efforts incluent cinq nouvelles astuces principales, notamment la militarisation des plateformes de marketing par courrier électronique.

Microsoft a refusé de commenter cet article.

Les derniers TTP de Star Blizzard

Pour aider à contourner les filtres de courrier électronique, Star Blizzard a commencé à utiliser des documents PDF protégés par mot de passe ou des liens vers des plates-formes de partage de fichiers basées sur le cloud contenant les PDF protégés. Les mots de passe de ces documents sont généralement regroupés dans le même e-mail de phishing ou dans un e-mail envoyé peu de temps après le premier.

Comme petits obstacles à une analyse humaine potentielle, Star Blizzard a commencé à utiliser un fournisseur de service de noms de domaine (DNS) comme proxy inverse – masquant les adresses IP associées à ses serveurs privés virtuels (VPS) – et des extraits de code JavaScript côté serveur destinés à empêcher les attaques automatisées. numérisation de son infrastructure.

Il utilise également un algorithme de génération de domaines (DGA) plus aléatoire, pour rendre la détection de modèles dans ses domaines plus lourde. Comme Microsoft le souligne cependant, les domaines Star Blizzard partagent toujours certaines caractéristiques déterminantes : ils sont généralement enregistrés auprès de Namecheap, dans des groupes qui utilisent souvent des conventions de dénomination similaires, et ils arborent les certifications TLS de Let's Encrypt.

Et en plus de ses petites astuces, Star Blizzard a commencé à utiliser les services de marketing par courrier électronique Mailerlite et HubSpot pour diriger ses escapades de phishing.

Utiliser le marketing par e-mail pour le phishing

Comme Microsoft l'explique sur son blog, « l'acteur utilise ces services pour créer une campagne email, qui lui fournit un sous-domaine dédié sur le service qui est ensuite utilisé pour créer des URL. Ces URL servent de point d'entrée à une chaîne de redirection se terminant à une adresse contrôlée par l'acteur. Infrastructure du serveur Evilginx. Les services peuvent également fournir à l'utilisateur une adresse e-mail dédiée par campagne par e-mail configurée, que l'acteur malveillant a utilisé comme adresse « De » dans ses campagnes.

Parfois, les pirates ont recours à des tactiques croisées, intégrant dans le corps de leurs PDF protégés par mot de passe les URL de marketing par courrier électronique qu'ils utilisent pour rediriger vers leurs serveurs malveillants. Cette combinaison supprime le besoin d’inclure sa propre infrastructure de domaine dans les e-mails.

« Leur utilisation de plates-formes basées sur le cloud comme HubSpot, MailerLite et de serveurs privés virtuels (VPS) associées à des scripts côté serveur pour empêcher l'analyse automatisée est une approche intéressante », explique Zoey Selman, analyste en matière de renseignements sur les menaces chez Recorded Future Insikt Group, « car elle permet à BlueCharlie de définir des paramètres d’autorisation pour rediriger la victime vers l’infrastructure des acteurs menaçants uniquement lorsque les exigences sont remplies.

Récemment, des chercheurs ont observé que le groupe utilisait des services de marketing par courrier électronique pour cibler des groupes de réflexion et des organismes de recherche, en utilisant un leurre commun, dans le but d'obtenir des informations d'identification pour un portail américain de gestion de subventions.

Le groupe a également connu d'autres succès récents, note Selman, « notamment contre des responsables du gouvernement britannique dans le cadre d'opérations de collecte d'informations d'identification et de piratage et de fuite utilisées dans des opérations d'influence, comme contre l'ancien chef du MI6 britannique Richard Dearlove, le britannique Le parlementaire Stewart McDonald est connu pour avoir au moins tenté de cibler les employés de certains des laboratoires nucléaires nationaux les plus en vue des États-Unis.»

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked