לאחר חשיפות ושיבושים מרובים, שחקן איום מתמשך מתקדם (APT) בחסות הקרמלין שדרג שוב את טכניקות ההתחמקות שלו. עם זאת, המהלך הזה נחשף גם השבוע, על ידי מיקרוסופט.
"Star Blizzard" (המכונה Seaborgium, BlueCharlie, Callisto Group ו-Coldriver) מבצעת גניבת אישורי דוא"ל בשירות של ריגול סייבר וקמפיינים להשפעת סייבר מאז לפחות 2017. היסטורית, היא מיקד את מטרתה בארגונים ציבוריים ופרטיים בנאט"ו מדינות חברות, בדרך כלל בתחומים הקשורים לפוליטיקה, ביטחון ומגזרים קשורים - ארגונים לא ממשלתיים, צוותי חשיבה, עיתונאים, מוסדות אקדמיים, ארגונים בין-ממשלתיים וכן הלאה. בשנים האחרונות היא מכוונת במיוחד לאנשים וארגונים המספקים תמיכה לאוקראינה.
אבל על כל פריצה מוצלחת, Star Blizzard ידועה גם בכשלונות ה-OpSec שלה. מיקרוסופט שיבש את הקבוצה באוגוסט 2022 ובזמן שחלפו מאז, Recorded Future עקבה אחריו מכיוון שהוא לא כל כך עדין ניסה לעבור לתשתית חדשה. וביום חמישי, מיקרוסופט חזרה לדווח על מאמציה האחרונים להתחמק. מאמצים אלה כוללים חמישה טריקים חדשים עיקריים, בעיקר ניצול הנשק של פלטפורמות שיווק בדוא"ל.
מיקרוסופט סירבה להגיב למאמר זה.
ה-TTP האחרונים של Star Blizzard
כדי לסייע בהתגנבות למסנני דוא"ל, Star Blizzard החלה להשתמש במסמכי פיתוי PDF המוגנים בסיסמה, או קישורים לפלטפורמות שיתוף קבצים מבוססות ענן עם קובצי ה-PDF המוגנים הכלולים בתוכם. הסיסמאות למסמכים אלה מגיעות בדרך כלל באותו דוא"ל דיוג, או בדוא"ל שנשלח זמן קצר לאחר הדוא"ל הראשון.
כחסימות דרכים קטנות לניתוח אנושי פוטנציאלי, Star Blizzard החלה להשתמש בספק שירות שמות דומיין (DNS) כפרוקסי הפוך - מטשטש את כתובות ה-IP המשויכות לשרתים וירטואליים פרטיים שלה (VPSs) - וקטעי JavaScript בצד השרת שנועדו למנוע אוטומטיות סריקה של התשתית שלו.
הוא גם משתמש באלגוריתם יצירת תחום אקראי יותר (DGA), כדי להפוך את זיהוי הדפוסים בתחומים שלו למסורבל יותר. עם זאת, כפי שמציינת מיקרוסופט, דומיינים של Star Blizzard עדיין חולקים מאפיינים מגדירים מסוימים: הם רשומים בדרך כלל ב-Namecheap, בקבוצות שמשתמשות לעתים קרובות במוסכמות שמות דומות, והם מספקים אישורי TLS של Let's Encrypt.
ומלבד הטריקים הקטנים יותר שלה, Star Blizzard החלה להשתמש בשירותי שיווק הדוא"ל Mailerlite ו- HubSpot כדי לכוון את מסע הדיוג שלה.
שימוש בשיווק בדוא"ל לצורך דיוג
כפי שהסבירה מיקרוסופט בבלוג שלה, "השחקן משתמש בשירותים אלה כדי ליצור מסע פרסום בדוא"ל, המספק להם תת-דומיין ייעודי בשירות המשמש לאחר מכן ליצירת כתובות URL. כתובות URL אלו פועלות כנקודת כניסה לשרשרת ניתוב מחדש המסתיימת בשליטה של השחקן תשתית שרת Evilginx. השירותים יכולים גם לספק למשתמש כתובת דוא"ל ייעודית לכל קמפיין דוא"ל מוגדר, שבה נראה ששחקן האיום משתמש ככתובת 'מאת' בקמפיינים שלהם".
לפעמים ההאקרים חצו טקטיקות, והטמיעו בגוף קובצי ה-PDF המוגנים באמצעות סיסמה את כתובות האתרים לשיווק בדוא"ל שהם משתמשים בהם כדי להפנות מחדש לשרתים הזדוניים שלהם. שילוב זה מסיר את הצורך לכלול תשתית דומיין משלה במיילים.
"השימוש שלהם בפלטפורמות מבוססות ענן כמו HubSpot, MailerLite ושרתים פרטיים וירטואליים (VPS) בשיתוף עם סקריפטים בצד השרת כדי למנוע סריקה אוטומטית היא גישה מעניינת", מסבירה זואי סלמן, אנליסטית מודיעין האיומים של Recorded Future Insikt Group. מאפשרת ל-BluCharlie להגדיר פרמטרים המאפשרים להפנות את הקורבן לתשתית של גורם איומים רק כאשר הדרישות מתקיימות".
לאחרונה, חוקרים צפו בקבוצה כשהיא משתמשת בשירותי שיווק בדוא"ל כדי למקד צוותי חשיבה וארגוני מחקר, תוך שימוש בפיתוי משותף, במטרה להשיג אישורים לפורטל ניהול מענקים בארה"ב.
הקבוצה ראתה הצלחה אחרת לאחרונה, גם כן, מציין סלמן, "בעיקר נגד פקידי ממשל בבריטניה בפעולות קצירת אישורים ופעולות פריצה והדלפה בשימוש בפעולות השפעה, כמו נגד ראש MI6 לשעבר בבריטניה ריצ'רד דירליב, הבריטי חבר הפרלמנט סטיוארט מקדונלד, וידוע כי לפחות ניסה למקד עובדים של כמה מהמעבדות הלאומיות הגרעיניות הגבוהות ביותר בארה"ב".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked
- :יש ל
- :הוא
- :לֹא
- 2017
- 7
- a
- אקדמי
- לפעול
- כתובת
- כתובות
- מתקדם
- לאחר
- שוב
- נגד
- סיוע
- המטרה
- aka
- אַלגוֹרִיתְם
- להתיר
- גם
- an
- אנליזה
- מנתח
- ו
- גישה
- APT
- ARE
- מאמר
- AS
- המשויך
- At
- ניסיתי
- אוגוסט
- אוטומטי
- BE
- היה
- התחיל
- מלבד
- בלוג
- גוּף
- הפרה
- בריטי
- by
- מבצע
- קמפיינים
- CAN
- נושאת
- מסוים
- אישורים
- שרשרת
- מאפיינים
- רֹאשׁ
- איך
- הערה
- Common
- מוגדר
- הכלול
- אמנות
- מדינות
- לִיצוֹר
- תְעוּדָה
- אישורים
- חצה
- מסורבל
- סייבר
- מוקדש
- גופי בטחון
- הגדרה
- בימוי
- שיבושים
- DNS
- מסמכים
- תחום
- שם תחום
- תחומים
- מַאֲמָצִים
- אמייל
- אימייל שיווק
- מיילים
- הטבעה
- עובדים
- מאפשר
- סיום
- כניסה
- במיוחד
- התחמקות
- כל
- מוסבר
- מסביר
- חשוף
- כישלונות
- שדות
- שלח
- מסננים
- ראשון
- חמש
- מרוכז
- בעד
- לשעבר
- החל מ-
- עתיד
- דור
- מטרה
- ממשלה
- פקידי ממשלה
- מענקים
- קְבוּצָה
- קבוצה
- האקרים
- יש
- גָבוֹהַ
- הסטורי
- אולם
- HTTPS
- HubSpot
- בן אנוש
- in
- לכלול
- אנשים
- להשפיע
- תשתית
- מוסדות
- מוֹדִיעִין
- התכוון
- מעניין
- IP
- כתובות IP
- IT
- שֶׁלָה
- JavaScript
- עיתונאים
- jpg
- ידוע
- מעבדות
- האחרון
- הכי פחות
- לתת
- כמו
- קישורים
- לעשות
- ניהול
- שיווק
- מקדונלד
- חבר
- נפגש
- מיקרוסופט
- יותר
- רוב
- המהלך
- מספר
- שם
- שירות שמות
- Namecheap
- שמות
- לאומי
- צורך
- חדש
- ארגונים לא ממשלתיים
- בייחוד
- הערות
- גַרעִינִי
- להשיג
- of
- גורמים רשמיים
- לעתים קרובות
- on
- פעם
- רק
- תפעול
- or
- ארגונים
- אחר
- הַחוּצָה
- שֶׁלוֹ
- ארוז
- פרמטרים
- פרלמנטרית
- שותף
- סיסמאות
- עבר
- דפוסי
- עבור
- דיוג
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- נקודות
- פוליטיקה
- כניסה
- פוטנציאל
- למנוע
- יְסוֹדִי
- פְּרָטִי
- פּרוֹפִיל
- מוּגָן
- לספק
- ספק
- מספק
- מתן
- פרוקסי
- ציבורי
- אקראי
- RE
- לאחרונה
- מוקלט
- הפניה
- רשום
- קָשׁוּר
- מסיר
- לדווח
- דרישות
- מחקר
- חוקרים
- להפוך
- ריצ'רד
- מחסומים
- רוסיה
- s
- אותו
- סריקה
- סקריפטים
- מגזרים
- לראות
- נשלח
- שרת
- שרתים
- שרות
- שירותים
- סט
- שיתוף
- שיתוף
- משמרת
- בקצרה
- דומה
- since
- קטן
- קטן יותר
- So
- כמה
- ספורט
- כוכב
- החל
- התגנבות
- סטיוארט
- עוד
- הצלחה
- מוצלח
- כזה
- תמיכה
- טקטיקה
- טנקים
- יעד
- ממוקד
- טכניקות
- זֶה
- השמיים
- גְנֵבָה
- שֶׁלָהֶם
- אותם
- אז
- אלה
- הֵם
- לחשוב
- זֶה
- השבוע
- איום
- יום חמישי
- זמן
- ל
- בדרך כלל
- לָנוּ
- Uk
- ממשלת בריטניה
- אוקראינה
- משודרג
- שדרוגים
- us
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- שימושים
- באמצעות
- לנצל
- קרבן
- וירטואלי
- היה
- שבוע
- טוֹב
- מתי
- אשר
- עם
- בתוך
- שנים
- זפירנט