O APT 'Star Blizzard' da Rússia atualiza sua furtividade, apenas para ser desmascarado novamente

Após múltiplas exposições e perturbações, um ator de ameaças persistentes avançadas (APT) patrocinado pelo Kremlin atualizou mais uma vez as suas técnicas de evasão. Porém, esse movimento também foi exposto esta semana, pela Microsoft.

“Star Blizzard” (também conhecido como Seaborgium, BlueCharlie, Callisto Group e Coldriver) tem realizado roubo de credenciais de e-mail a serviço de campanhas de espionagem cibernética e influência cibernética desde pelo menos 2017. Historicamente, concentrou seu objetivo em organizações públicas e privadas da OTAN. países membros, normalmente em domínios relacionados com política, defesa e sectores relacionados - ONG, grupos de reflexão, jornalistas, instituições académicas, organizações intergovernamentais, e assim por diante. Nos últimos anos, tem visado especialmente indivíduos e organizações que prestam apoio à Ucrânia.

Mas, para cada violação bem-sucedida, a Star Blizzard também é conhecida por suas falhas de OpSec. Microsoft interrompeu o grupo em agosto de 2022 e, desde então, a Recorded Future acompanhou isso de forma não tão sutil tentou mudar para uma nova infraestrutura. E na quinta-feira, a Microsoft voltou a reportar sobre seus últimos esforços de evasão. Esses esforços incluem cinco novos truques principais, mais notavelmente a transformação de plataformas de email marketing em armas.

A Microsoft se recusou a fornecer comentários para este artigo.

Últimos TTPs da Star Blizzard

Para ajudar a escapar dos filtros de e-mail, a Star Blizzard começou a usar documentos PDF protegidos por senha ou links para plataformas de compartilhamento de arquivos baseadas em nuvem com os PDFs protegidos contidos neles. As senhas para esses documentos geralmente vêm no mesmo e-mail de phishing ou em um e-mail enviado logo após o primeiro.

Como pequenos obstáculos para possíveis análises humanas, a Star Blizzard começou a usar um provedor de serviço de nomes de domínio (DNS) como proxy reverso – ocultando os endereços IP associados aos seus servidores virtuais privados (VPSs) – e trechos de JavaScript do lado do servidor destinados a impedir ataques automatizados. digitalização de sua infraestrutura.

Ele também está usando um algoritmo de geração de domínio (DGA) mais aleatório, para tornar a detecção de padrões em seus domínios mais complicada. No entanto, como a Microsoft aponta, os domínios da Star Blizzard ainda compartilham certas características definidoras: eles são normalmente registrados no Namecheap, em grupos que costumam usar convenções de nomenclatura semelhantes e possuem certificações TLS da Let’s Encrypt.

E além de seus truques menores, a Star Blizzard começou a utilizar os serviços de marketing por e-mail Mailerlite e HubSpot para direcionar suas aventuras de phishing.

Usando marketing por e-mail para phishing

Como a Microsoft explicou em seu blog, “o ator usa esses serviços para criar uma campanha de e-mail, que fornece um subdomínio dedicado no serviço que é então usado para criar URLs. Esses URLs atuam como ponto de entrada para uma cadeia de redirecionamento que termina em um ponto controlado pelo ator. Infraestrutura de servidor Evilginx. Os serviços também podem fornecer ao usuário um endereço de e-mail dedicado por campanha de e-mail configurada, que o ator da ameaça usa como o endereço ‘De’ em suas campanhas.”

Às vezes, os hackers usam táticas cruzadas, incorporando no corpo de seus PDFs protegidos por senha os URLs de marketing por e-mail que usam para redirecionar para seus servidores maliciosos. Esta combinação elimina a necessidade de incluir infraestrutura de domínio próprio nos emails.

“O uso de plataformas baseadas em nuvem como HubSpot, MailerLite e servidores virtuais privados (VPS) em parceria com scripts do lado do servidor para evitar verificação automatizada é uma abordagem interessante”, explica Zoey Selman, analista de inteligência de ameaças do Recorded Future Insikt Group, “já que permite que o BlueCharlie defina parâmetros de permissão para redirecionar a vítima para a infraestrutura do agente de ameaça somente quando os requisitos forem atendidos.”

Recentemente, investigadores observaram o grupo a utilizar serviços de marketing por e-mail para atingir grupos de reflexão e organizações de investigação, utilizando uma isca comum, com o objectivo de obter credenciais para um portal de gestão de subvenções nos EUA.

O grupo também obteve algum outro sucesso recente, observa Selman, “principalmente contra funcionários do governo do Reino Unido em operações de coleta de credenciais e operações de hack-and-leak em uso em operações de influência, como contra o ex-chefe do MI6 do Reino Unido, Richard Dearlove, britânico O parlamentar Stewart McDonald, e é conhecido por ter pelo menos tentado atingir funcionários de alguns dos laboratórios nucleares nacionais mais importantes dos EUA.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked