Na meerdere blootstellingen en verstoringen heeft een door het Kremlin gesponsorde APT-speler (Advanced Persistent Threat) zijn ontwijkingstechnieken opnieuw geüpgraded. Deze stap werd deze week echter ook door Microsoft aan het licht gebracht.
“Star Blizzard” (ook bekend als Seaborgium, BlueCharlie, Callisto Group en Coldriver) voert sinds minstens 2017 diefstal van e-mailgegevens uit in dienst van cyberspionage en cyberinvloedcampagnes. Historisch gezien heeft het zijn doel gericht op publieke en private organisaties in de NAVO lidstaten, doorgaans op gebieden die verband houden met politiek, defensie en aanverwante sectoren – NGO’s, denktanks, journalisten, academische instellingen, intergouvernementele organisaties, enzovoort. De afgelopen jaren heeft de actie zich vooral gericht op personen en organisaties die steun verlenen aan Oekraïne.
Maar naast elke succesvolle inbreuk staat Star Blizzard ook bekend om zijn OpSec-mislukkingen. Microsoft ontwrichtte de groep in augustus 2022 en in de tijd daarna heeft Recorded Future het op niet zo subtiele wijze gevolgd geprobeerd over te stappen op nieuwe infrastructuur. En donderdag keerde Microsoft terug om verslag uit te brengen zijn laatste pogingen tot ontduiking. Deze inspanningen omvatten vijf belangrijke nieuwe trucs, met name de bewapening van e-mailmarketingplatforms.
Microsoft weigerde commentaar te geven op dit artikel.
De nieuwste TTP's van Star Blizzard
Om te helpen om langs e-mailfilters te sluipen, is Star Blizzard begonnen met het gebruik van met een wachtwoord beveiligde PDF-lokmiddeldocumenten, of koppelingen naar cloudgebaseerde platforms voor het delen van bestanden met de beveiligde PDF's daarin. De wachtwoorden voor deze documenten zitten doorgaans in dezelfde phishing-e-mail, of in een e-mail die kort na de eerste wordt verzonden.
Als kleine wegversperringen voor mogelijke menselijke analyse is Star Blizzard begonnen met het gebruik van een domeinnaamservice (DNS)-provider als een reverse proxy – waardoor de IP-adressen die zijn gekoppeld aan zijn virtuele privéservers (VPS’s) worden verdoezeld – en JavaScript-fragmenten op de server die bedoeld zijn om geautomatiseerde scannen van zijn infrastructuur.
Het maakt ook gebruik van een meer gerandomiseerd algoritme voor het genereren van domeinen (DGA), om het detecteren van patronen in zijn domeinen lastiger te maken. Zoals Microsoft echter opmerkt, delen Star Blizzard-domeinen nog steeds bepaalde bepalende kenmerken: ze zijn doorgaans geregistreerd bij Namecheap, in groepen die vaak vergelijkbare naamgevingsconventies gebruiken, en ze beschikken over TLS-certificeringen van Let’s Encrypt.
En naast de kleinere trucjes is Star Blizzard begonnen de e-mailmarketingdiensten Mailerlite en HubSpot te gebruiken om zijn phishing-escapades aan te sturen.
E-mailmarketing gebruiken voor phishing
Zoals Microsoft in zijn blog uitlegde: “de actor gebruikt deze services om een e-mailcampagne te maken, die hen een speciaal subdomein op de service biedt dat vervolgens wordt gebruikt om URL’s te maken. Deze URL's fungeren als toegangspunt tot een omleidingsketen die eindigt op door de actor bestuurd Evilginx-serverinfrastructuur. De diensten kunnen de gebruiker ook voorzien van een speciaal e-mailadres per geconfigureerde e-mailcampagne, waarvan wordt aangenomen dat de bedreigingsacteur dit gebruikt als het ‘Van’-adres in zijn campagnes.”
Soms hebben de hackers een tactiek overgeslagen door in de hoofdtekst van hun met een wachtwoord beveiligde PDF's de e-mailmarketing-URL's in te sluiten die ze gebruiken om door te sturen naar hun kwaadaardige servers. Met deze combinatie is het niet meer nodig om een eigen domeininfrastructuur in de e-mails op te nemen.
“Hun gebruik van cloudgebaseerde platforms zoals HubSpot, MailerLite en virtual private servers (VPS) in combinatie met server-side scripts om geautomatiseerd scannen te voorkomen is een interessante aanpak”, legt dreigingsinformatie-analist Zoey Selman van Recorded Future Insikt Group uit, “omdat het stelt BlueCharlie in staat om parameters in te stellen om het slachtoffer alleen door te sturen naar de infrastructuur van bedreigingsactoren als aan de vereisten is voldaan.”
Onlangs hebben onderzoekers waargenomen dat de groep e-mailmarketingdiensten gebruikte om denktanks en onderzoeksorganisaties te targeten, met behulp van een gemeenschappelijk lokmiddel, met als doel inloggegevens te verkrijgen voor een Amerikaans subsidiebeheerportaal.
De groep heeft ook nog andere recente successen geboekt, merkt Selman op, “met name tegen Britse overheidsfunctionarissen bij het verzamelen van legitimatiebewijzen en hack-and-lek-operaties die worden gebruikt bij beïnvloedingsoperaties, zoals tegen de voormalige Britse MI6-chef Richard Dearlove, de Britse Parlementariër Stewart McDonald, en het is bekend dat hij op zijn minst geprobeerd heeft zich te richten op werknemers van enkele van de meest vooraanstaande nationale nucleaire laboratoria van de VS.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked
- : heeft
- :is
- :niet
- 2017
- 7
- a
- academische
- Handelen
- adres
- adressen
- vergevorderd
- Na
- weer
- tegen
- Steun
- streven
- aka
- algoritme
- toelaten
- ook
- an
- analyse
- analist
- en
- nadering
- APT
- ZIJN
- dit artikel
- AS
- geassocieerd
- At
- gepoogd
- Augustus
- geautomatiseerde
- BE
- geweest
- begonnen
- behalve
- Blog
- lichaam
- overtreding
- Brits
- by
- Campagne
- Campagnes
- CAN
- vervoer
- zeker
- certificeringen
- keten
- kenmerken
- chef
- hoe
- commentaar
- Gemeen
- geconfigureerd
- bevatte
- conventies
- landen
- en je merk te creëren
- IDENTIFICATIE
- Geloofsbrieven
- Gekruist
- hinderlijk
- cyber
- toegewijd aan
- Verdediging
- het definiëren van
- leiding
- verstoringen
- dns
- documenten
- domein
- domeinnaam
- domeinen
- inspanningen
- E-mailmarketing
- e-mails
- inbedding
- medewerkers
- maakt
- einde
- toegang
- vooral
- ontduiking
- Alle
- uitgelegd
- Verklaart
- blootgestelde
- mislukkingen
- Velden
- Dien in
- filters
- Voornaam*
- vijf
- gericht
- Voor
- Voormalig
- oppompen van
- toekomst
- generatie
- doel
- Overheid
- Ambtenaren
- subsidies
- Groep
- Groep
- Hackers
- Hebben
- Hoge
- historisch
- Echter
- HTTPS
- HubSpot
- menselijk
- in
- omvatten
- individuen
- beïnvloeden
- Infrastructuur
- instellingen
- Intelligentie
- bestemde
- interessant
- IP
- IP adressen
- IT
- HAAR
- JavaScript
- Journalisten
- jpg
- bekend
- laboratoria
- laatste
- minst
- laten
- als
- links
- maken
- management
- Marketing
- MCDONALD
- lid
- voldaan
- Microsoft
- meer
- meest
- beweging
- meervoudig
- naam
- Naamservice
- Namecheap
- naamgeving
- nationaal
- Noodzaak
- New
- NGO's
- in het bijzonder
- Opmerkingen
- nucleair
- het verkrijgen van
- of
- ambtenaren
- vaak
- on
- eens
- Slechts
- Operations
- or
- organisaties
- Overige
- uit
- het te bezitten.
- verpakt
- parameters
- Parlementariër
- partnered
- wachtwoorden
- verleden
- patronen
- voor
- Phishing
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- punt
- punten
- politiek
- Portaal
- potentieel
- voorkomen
- primair
- privaat
- Profiel
- beschermd
- zorgen voor
- leverancier
- biedt
- het verstrekken van
- volmacht
- publiek
- Gerandomiseerd
- RE
- recent
- opgenomen
- redirect
- geregistreerd
- verwant
- verwijdert
- verslag
- Voorwaarden
- onderzoek
- onderzoekers
- omkeren
- Richard
- wegversperringen
- Rusland
- s
- dezelfde
- het scannen
- scripts
- Sectoren
- gezien
- verzonden
- server
- Servers
- service
- Diensten
- reeks
- Delen
- delen
- verschuiving
- binnenkort
- gelijk
- sinds
- Klein
- kleinere
- So
- sommige
- Sport
- Ster
- gestart
- Stealth
- stewart
- Still
- succes
- geslaagd
- dergelijk
- ondersteuning
- tactiek
- tanks
- doelwit
- doelgerichte
- technieken
- dat
- De
- diefstal
- hun
- Ze
- harte
- Deze
- ze
- denken
- dit
- deze week
- bedreiging
- donderdag
- niet de tijd of
- naar
- typisch
- ons
- Uk
- Britse regering
- Oekraïne
- opgewaardeerd
- upgrades
- us
- .
- gebruikt
- Gebruiker
- toepassingen
- gebruik
- gebruik maken van
- Slachtoffer
- Virtueel
- was
- week
- GOED
- wanneer
- welke
- Met
- binnen
- jaar
- zephyrnet
