러시아의 '스타 블리자드' APT가 스텔스 기능을 업그레이드했지만 다시 정체가 드러났습니다.

크렘린궁이 후원하는 지능형 지속 위협(APT) 공격자는 여러 차례 노출과 중단 이후 회피 기술을 다시 한 번 업그레이드했습니다. 그러나 이러한 움직임은 이번 주에도 Microsoft에 의해 노출되었습니다.

"Star Blizzard"(일명 Seaborgium, BlueCharlie, Callisto Group 및 Coldriver)는 최소한 2017년부터 사이버 스파이 활동 및 사이버 영향 캠페인을 위해 이메일 자격 증명 도용을 수행해 왔습니다. 역사적으로 이 공격은 NATO의 공공 및 민간 조직을 목표로 삼았습니다. 일반적으로 정치, 국방 및 관련 부문과 관련된 분야의 회원국(NGO, 싱크탱크, 언론인, 학술 기관, 정부 간 조직 등)입니다. 최근에는 특히 우크라이나를 지원하는 개인과 조직을 표적으로 삼았습니다.

그러나 모든 성공적인 위반에 대해 Star Blizzard는 OpSec 실패로도 유명합니다. 마이크로소프트 2022년 XNUMX월 그룹 해체 그리고 그 이후로 Recorded Future는 그것을 그다지 미묘하지 않게 추적했습니다. 새로운 인프라로 전환을 시도했습니다.. 그리고 목요일에 Microsoft는 다음과 같은 보고를 하기 위해 돌아왔습니다. 최근의 회피 노력. 이러한 노력에는 다섯 가지 주요 새로운 트릭이 포함되며, 특히 이메일 마케팅 플랫폼의 무기화가 가장 두드러집니다.

Microsoft는 이 기사에 대한 논평을 거부했습니다.

Star Blizzard의 최신 TTP

이메일 필터를 몰래 통과하는 데 도움을 주기 위해 Star Blizzard는 비밀번호로 보호된 PDF 미끼 문서 또는 보호된 PDF가 포함된 클라우드 기반 파일 공유 플랫폼에 대한 링크를 사용하기 시작했습니다. 이러한 문서의 비밀번호는 일반적으로 동일한 피싱 이메일이나 첫 번째 이메일 직후에 전송된 이메일에 패키지되어 제공됩니다.

잠재적인 인간 분석에 대한 작은 장애물로서 Star Blizzard는 도메인 이름 서비스(DNS) 공급자를 역방향 프록시로 사용하기 시작했습니다. 즉, 가상 사설 서버(VPS)와 연결된 IP 주소를 모호하게 하고, 자동화된 공격을 방지하기 위한 서버 측 JavaScript 스니펫을 사용하기 시작했습니다. 인프라를 스캐닝합니다.

또한 도메인에서 패턴을 감지하기가 더 번거로워지기 위해 보다 무작위화된 도메인 생성 알고리즘(DGA)을 사용하고 있습니다. 그러나 Microsoft가 지적했듯이 Star Blizzard 도메인은 여전히 ​​특정 정의 특성을 공유합니다. 일반적으로 유사한 명명 규칙을 사용하는 그룹에서 Namecheap에 등록되며 Let's Encrypt의 TLS 인증을 자랑합니다.

Star Blizzard는 작은 수법 외에도 피싱 공격을 지시하기 위해 이메일 마케팅 서비스인 Mailerlite와 HubSpot을 활용하기 시작했습니다.

피싱에 이메일 마케팅 사용

Microsoft가 블로그에서 설명했듯이, “공격자는 이러한 서비스를 사용하여 이메일 캠페인을 만들고, 이 캠페인은 URL을 생성하는 데 사용되는 서비스에 대한 전용 하위 도메인을 제공합니다. 이러한 URL은 행위자가 제어하는 ​​위치로 끝나는 리디렉션 체인의 진입점 역할을 합니다. Evilginx 서버 인프라. 또한 이 서비스는 구성된 이메일 캠페인별로 전용 이메일 주소를 사용자에게 제공할 수 있으며, 위협 행위자는 이 주소를 캠페인에서 '보낸 사람' 주소로 사용하는 것으로 나타났습니다.”

때때로 해커는 악의적인 서버로 리디렉션하는 데 사용하는 이메일 마케팅 URL을 비밀번호로 보호된 PDF 본문에 삽입하는 교묘한 전술을 사용합니다. 이 콤보를 사용하면 이메일에 자체 도메인 인프라를 포함할 필요가 없습니다.

Recorded Future Insikt Group 위협 인텔리전스 분석가인 Zoey Selman은 "HubSpot, MailerLite 및 가상 개인 서버(VPS)와 같은 클라우드 기반 플랫폼을 서버 측 스크립트와 협력하여 자동 검색을 방지하는 것은 흥미로운 접근 방식입니다."라고 설명합니다. BlueCharlie는 요구 사항이 충족되는 경우에만 피해자를 위협 행위자 인프라로 리디렉션하도록 허용 매개변수를 설정할 수 있습니다.”

최근 연구원들은 이 그룹이 미국 보조금 관리 포털에 대한 자격 증명을 획득하려는 목적으로 공통의 미끼를 사용하여 싱크 탱크 및 연구 기관을 표적으로 삼기 위해 이메일 마케팅 서비스를 사용하는 것을 관찰했습니다.

이 그룹은 최근 다른 성공도 거두었다고 Selman은 말합니다. “가장 주목할만한 것은 전 영국 MI6 국장인 Richard Dearlove와 같은 영향력 있는 작전에 사용되는 자격 증명 수집 및 해킹 및 유출 작전에서 영국 정부 관료를 상대로 한 것입니다. 국회의원인 스튜어트 맥도날드(Stewart McDonald)는 적어도 미국에서 가장 유명한 국립 원자력 연구소의 직원을 표적으로 삼으려고 시도한 것으로 알려져 있습니다.”

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked