APT 'כוכב שלגים' של רוסיה משדרג את התגנבות שלו, רק כדי להיחשף שוב

לאחר חשיפות ושיבושים מרובים, שחקן איום מתמשך מתקדם (APT) בחסות הקרמלין שדרג שוב את טכניקות ההתחמקות שלו. עם זאת, המהלך הזה נחשף גם השבוע, על ידי מיקרוסופט.

"Star Blizzard" (המכונה Seaborgium, BlueCharlie, Callisto Group ו-Coldriver) מבצעת גניבת אישורי דוא"ל בשירות של ריגול סייבר וקמפיינים להשפעת סייבר מאז לפחות 2017. היסטורית, היא מיקד את מטרתה בארגונים ציבוריים ופרטיים בנאט"ו מדינות חברות, בדרך כלל בתחומים הקשורים לפוליטיקה, ביטחון ומגזרים קשורים - ארגונים לא ממשלתיים, צוותי חשיבה, עיתונאים, מוסדות אקדמיים, ארגונים בין-ממשלתיים וכן הלאה. בשנים האחרונות היא מכוונת במיוחד לאנשים וארגונים המספקים תמיכה לאוקראינה.

אבל על כל פריצה מוצלחת, Star Blizzard ידועה גם בכשלונות ה-OpSec שלה. מיקרוסופט שיבש את הקבוצה באוגוסט 2022 ובזמן שחלפו מאז, Recorded Future עקבה אחריו מכיוון שהוא לא כל כך עדין ניסה לעבור לתשתית חדשה. וביום חמישי, מיקרוסופט חזרה לדווח על מאמציה האחרונים להתחמק. מאמצים אלה כוללים חמישה טריקים חדשים עיקריים, בעיקר ניצול הנשק של פלטפורמות שיווק בדוא"ל.

מיקרוסופט סירבה להגיב למאמר זה.

ה-TTP האחרונים של Star Blizzard

כדי לסייע בהתגנבות למסנני דוא"ל, Star Blizzard החלה להשתמש במסמכי פיתוי PDF המוגנים בסיסמה, או קישורים לפלטפורמות שיתוף קבצים מבוססות ענן עם קובצי ה-PDF המוגנים הכלולים בתוכם. הסיסמאות למסמכים אלה מגיעות בדרך כלל באותו דוא"ל דיוג, או בדוא"ל שנשלח זמן קצר לאחר הדוא"ל הראשון.

כחסימות דרכים קטנות לניתוח אנושי פוטנציאלי, Star Blizzard החלה להשתמש בספק שירות שמות דומיין (DNS) כפרוקסי הפוך - מטשטש את כתובות ה-IP המשויכות לשרתים וירטואליים פרטיים שלה (VPSs) - וקטעי JavaScript בצד השרת שנועדו למנוע אוטומטיות סריקה של התשתית שלו.

הוא גם משתמש באלגוריתם יצירת תחום אקראי יותר (DGA), כדי להפוך את זיהוי הדפוסים בתחומים שלו למסורבל יותר. עם זאת, כפי שמציינת מיקרוסופט, דומיינים של Star Blizzard עדיין חולקים מאפיינים מגדירים מסוימים: הם רשומים בדרך כלל ב-Namecheap, בקבוצות שמשתמשות לעתים קרובות במוסכמות שמות דומות, והם מספקים אישורי TLS של Let's Encrypt.

ומלבד הטריקים הקטנים יותר שלה, Star Blizzard החלה להשתמש בשירותי שיווק הדוא"ל Mailerlite ו- HubSpot כדי לכוון את מסע הדיוג שלה.

שימוש בשיווק בדוא"ל לצורך דיוג

כפי שהסבירה מיקרוסופט בבלוג שלה, "השחקן משתמש בשירותים אלה כדי ליצור מסע פרסום בדוא"ל, המספק להם תת-דומיין ייעודי בשירות המשמש לאחר מכן ליצירת כתובות URL. כתובות URL אלו פועלות כנקודת כניסה לשרשרת ניתוב מחדש המסתיימת בשליטה של ​​השחקן תשתית שרת Evilginx. השירותים יכולים גם לספק למשתמש כתובת דוא"ל ייעודית לכל קמפיין דוא"ל מוגדר, שבה נראה ששחקן האיום משתמש ככתובת 'מאת' בקמפיינים שלהם".

לפעמים ההאקרים חצו טקטיקות, והטמיעו בגוף קובצי ה-PDF המוגנים באמצעות סיסמה את כתובות האתרים לשיווק בדוא"ל שהם משתמשים בהם כדי להפנות מחדש לשרתים הזדוניים שלהם. שילוב זה מסיר את הצורך לכלול תשתית דומיין משלה במיילים.

"השימוש שלהם בפלטפורמות מבוססות ענן כמו HubSpot, MailerLite ושרתים פרטיים וירטואליים (VPS) בשיתוף עם סקריפטים בצד השרת כדי למנוע סריקה אוטומטית היא גישה מעניינת", מסבירה זואי סלמן, אנליסטית מודיעין האיומים של Recorded Future Insikt Group. מאפשרת ל-BluCharlie להגדיר פרמטרים המאפשרים להפנות את הקורבן לתשתית של גורם איומים רק כאשר הדרישות מתקיימות".

לאחרונה, חוקרים צפו בקבוצה כשהיא משתמשת בשירותי שיווק בדוא"ל כדי למקד צוותי חשיבה וארגוני מחקר, תוך שימוש בפיתוי משותף, במטרה להשיג אישורים לפורטל ניהול מענקים בארה"ב.

הקבוצה ראתה הצלחה אחרת לאחרונה, גם כן, מציין סלמן, "בעיקר נגד פקידי ממשל בבריטניה בפעולות קצירת אישורים ופעולות פריצה והדלפה בשימוש בפעולות השפעה, כמו נגד ראש MI6 לשעבר בבריטניה ריצ'רד דירליב, הבריטי חבר הפרלמנט סטיוארט מקדונלד, וידוע כי לפחות ניסה למקד עובדים של כמה מהמעבדות הלאומיות הגרעיניות הגבוהות ביותר בארה"ב".

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked