หลังจากการเผชิญหน้าและการหยุดชะงักหลายครั้ง ผู้แสดงภัยคุกคามขั้นสูง (APT) ที่สนับสนุนโดยเครมลินได้อัปเกรดเทคนิคการหลีกเลี่ยงอีกครั้ง อย่างไรก็ตาม ความเคลื่อนไหวดังกล่าวได้รับการเปิดเผยในสัปดาห์นี้โดย Microsoft
“Star Blizzard” (หรือที่รู้จักในชื่อ Seaborgium, BlueCharlie, Callisto Group และ Coldriver) ดำเนินการขโมยข้อมูลรับรองอีเมลเพื่อให้บริการการจารกรรมทางไซเบอร์และแคมเปญที่มีอิทธิพลทางไซเบอร์นับตั้งแต่อย่างน้อยปี 2017 ในอดีต บริษัทได้มุ่งเน้นไปที่องค์กรภาครัฐและเอกชนใน NATO ประเทศสมาชิก ซึ่งโดยทั่วไปจะอยู่ในสาขาที่เกี่ยวข้องกับการเมือง กลาโหม และภาคส่วนที่เกี่ยวข้อง เช่น NGOs กลุ่มคลังสมอง นักข่าว สถาบันการศึกษา องค์กรระหว่างรัฐบาล และอื่นๆ ในช่วงไม่กี่ปีที่ผ่านมา มีการกำหนดเป้าหมายเฉพาะบุคคลและองค์กรที่ให้การสนับสนุนยูเครน
แต่สำหรับการละเมิดที่ประสบความสำเร็จทุกครั้ง Star Blizzard ก็ขึ้นชื่อในเรื่องความล้มเหลวของ OpSec ไมโครซอฟต์ ขัดขวางกลุ่มในเดือนสิงหาคม พ.ศ. 2022 และในช่วงเวลานั้น Recorded Future ได้ติดตามมันอย่างไม่ละเอียดนัก พยายามเปลี่ยนมาใช้โครงสร้างพื้นฐานใหม่. และเมื่อวันพฤหัสบดีที่ผ่านมา Microsoft ก็กลับมารายงานตัวอีกครั้ง ความพยายามล่าสุดในการหลบเลี่ยง. ความพยายามเหล่านี้ประกอบด้วยเคล็ดลับใหม่ห้าประการ โดยเฉพาะอย่างยิ่งการสร้างอาวุธให้กับแพลตฟอร์มการตลาดผ่านอีเมล
Microsoft ปฏิเสธที่จะแสดงความคิดเห็นสำหรับบทความนี้
TTP ล่าสุดของ Star Blizzard
เพื่อช่วยในการแอบกรองอีเมล Star Blizzard ได้เริ่มใช้เอกสารล่อใจ PDF ที่มีการป้องกันด้วยรหัสผ่าน หรือลิงก์ไปยังแพลตฟอร์มแชร์ไฟล์บนคลาวด์ที่มีไฟล์ PDF ที่ได้รับการป้องกันอยู่ภายใน รหัสผ่านสำหรับเอกสารเหล่านี้มักจะมาในอีเมลฟิชชิ่งเดียวกัน หรืออีเมลที่ส่งหลังจากอีเมลแรกไม่นาน
ในฐานะอุปสรรคเล็กๆ สำหรับการวิเคราะห์โดยมนุษย์ Star Blizzard ได้เริ่มใช้ผู้ให้บริการชื่อโดเมน (DNS) เป็นพร็อกซีย้อนกลับ — ปิดบังที่อยู่ IP ที่เกี่ยวข้องกับเซิร์ฟเวอร์ส่วนตัวเสมือน (VPS) – และตัวอย่าง JavaScript ฝั่งเซิร์ฟเวอร์ที่มีจุดประสงค์เพื่อป้องกันการทำงานอัตโนมัติ การสแกนโครงสร้างพื้นฐาน
นอกจากนี้ยังใช้อัลกอริธึมการสร้างโดเมนแบบสุ่ม (DGA) เพื่อทำให้รูปแบบการตรวจจับในโดเมนยุ่งยากมากขึ้น อย่างไรก็ตาม ดังที่ Microsoft ชี้ให้เห็น โดเมน Star Blizzard ยังคงมีลักษณะการกำหนดบางอย่างร่วมกัน: โดยทั่วไปแล้วจะลงทะเบียนกับ Namecheap ในกลุ่มที่มักใช้รูปแบบการตั้งชื่อที่คล้ายกัน และพวกเขารับรอง TLS จาก Let's Encrypt
นอกเหนือจากลูกเล่นเล็กๆ น้อยๆ แล้ว Star Blizzard ยังได้เริ่มใช้บริการการตลาดผ่านอีเมล Mailerlite และ HubSpot เพื่อควบคุมการหลบหนีแบบฟิชชิ่ง
การใช้การตลาดทางอีเมลเพื่อฟิชชิ่ง
ตามที่ Microsoft อธิบายไว้ในบล็อก “นักแสดงใช้บริการเหล่านี้เพื่อสร้างแคมเปญอีเมล ซึ่งให้โดเมนย่อยเฉพาะในบริการที่ใช้ในการสร้าง URL URL เหล่านี้ทำหน้าที่เป็นจุดเริ่มต้นไปยังห่วงโซ่การเปลี่ยนเส้นทางที่สิ้นสุดที่ผู้ควบคุม โครงสร้างพื้นฐานเซิร์ฟเวอร์ Evilginx. บริการนี้ยังสามารถให้ที่อยู่อีเมลเฉพาะแก่ผู้ใช้ตามแคมเปญอีเมลที่กำหนดค่า ซึ่งผู้คุกคามถูกใช้เป็นที่อยู่ 'จาก' ในแคมเปญของพวกเขา”
บางครั้งแฮกเกอร์ได้ข้ามกลยุทธ์ โดยฝัง URL การตลาดทางอีเมลที่พวกเขาใช้เพื่อเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ที่เป็นอันตรายภายในไฟล์ PDF ที่มีการป้องกันด้วยรหัสผ่าน คำสั่งผสมนี้จะขจัดความจำเป็นในการรวมโครงสร้างพื้นฐานโดเมนของตัวเองในอีเมล
“การใช้แพลตฟอร์มบนคลาวด์เช่น HubSpot, MailerLite และเซิร์ฟเวอร์ส่วนตัวเสมือน (VPS) ร่วมมือกับสคริปต์ฝั่งเซิร์ฟเวอร์เพื่อป้องกันการสแกนอัตโนมัติเป็นแนวทางที่น่าสนใจ” Zoey Selman นักวิเคราะห์ข่าวกรองภัยคุกคาม Recorded Future Insikt Group อธิบาย “ในขณะนั้น ช่วยให้ BlueCharlie สามารถตั้งค่าพารามิเตอร์ที่อนุญาตให้เปลี่ยนเส้นทางเหยื่อไปยังโครงสร้างพื้นฐานของผู้คุกคามเฉพาะเมื่อตรงตามข้อกำหนดเท่านั้น”
เมื่อเร็วๆ นี้ นักวิจัยสังเกตเห็นกลุ่มที่ใช้บริการการตลาดผ่านอีเมลเพื่อกำหนดเป้าหมายกลุ่มนักคิดและองค์กรวิจัย โดยใช้สิ่งล่อใจทั่วไป โดยมีเป้าหมายในการได้รับข้อมูลรับรองสำหรับพอร์ทัลการจัดการทุนสนับสนุนของสหรัฐอเมริกา
กลุ่มนี้ได้เห็นความสำเร็จอื่น ๆ เมื่อเร็ว ๆ นี้เช่นกัน เซลแมนตั้งข้อสังเกตว่า "ที่โดดเด่นที่สุดต่อเจ้าหน้าที่รัฐบาลสหราชอาณาจักรในการเก็บเกี่ยวข้อมูลประจำตัวและการปฏิบัติการแฮ็กและรั่วที่ใช้ในการปฏิบัติการที่มีอิทธิพล เช่น กับอดีตหัวหน้า MI6 ของสหราชอาณาจักร Richard Dearlove ชาวอังกฤษ สจ๊วร์ต แมคโดนัลด์ สมาชิกสภาผู้แทนราษฎร และเป็นที่รู้กันว่าอย่างน้อยก็พยายามกำหนดเป้าหมายพนักงานของห้องปฏิบัติการนิวเคลียร์ระดับชาติที่มีชื่อเสียงที่สุดของสหรัฐอเมริกา"
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked
- :มี
- :เป็น
- :ไม่
- 2017
- 7
- a
- นักวิชาการ
- กระทำ
- ที่อยู่
- ที่อยู่
- สูง
- หลังจาก
- อีกครั้ง
- กับ
- ช่วย
- จุดมุ่งหมาย
- อาคา
- ขั้นตอนวิธี
- อนุญาต
- ด้วย
- an
- การวิเคราะห์
- นักวิเคราะห์
- และ
- เข้าใกล้
- APT
- เป็น
- บทความ
- AS
- ที่เกี่ยวข้อง
- At
- พยายาม
- สิงหาคม
- อัตโนมัติ
- BE
- รับ
- เริ่ม
- นอกจากนี้
- บล็อก
- ร่างกาย
- ช่องโหว่
- British
- by
- รณรงค์
- แคมเปญ
- CAN
- การปฏิบัติ
- บาง
- การรับรอง
- โซ่
- ลักษณะ
- หัวหน้า
- อย่างไร
- ความเห็น
- ร่วมกัน
- การกำหนดค่า
- ที่มีอยู่
- การประชุม
- ประเทศ
- สร้าง
- หนังสือรับรอง
- หนังสือรับรอง
- ข้าม
- ยุ่งยาก
- ไซเบอร์
- ทุ่มเท
- ป้องกัน
- การกำหนด
- การกำกับ
- การหยุดชะงัก
- DNS
- เอกสาร
- โดเมน
- ชื่อโดเมน
- โดเมน
- ความพยายาม
- อีเมล
- การตลาดอีเมล์
- อีเมล
- การฝัง
- พนักงาน
- ช่วยให้
- สิ้นสุด
- การเข้า
- โดยเฉพาะอย่างยิ่ง
- การหลีกเลี่ยง
- ทุกๆ
- อธิบาย
- อธิบาย
- ที่เปิดเผย
- ความล้มเหลว
- สาขา
- เนื้อไม่มีมัน
- ฟิลเตอร์
- ชื่อจริง
- ห้า
- มุ่งเน้น
- สำหรับ
- อดีต
- ราคาเริ่มต้นที่
- อนาคต
- รุ่น
- เป้าหมาย
- รัฐบาล
- ข้าราชการ
- ทุน
- บัญชีกลุ่ม
- กลุ่ม
- แฮกเกอร์
- มี
- จุดสูง
- อดีต
- อย่างไรก็ตาม
- HTTPS
- HubSpot
- เป็นมนุษย์
- in
- ประกอบด้วย
- บุคคล
- มีอิทธิพล
- โครงสร้างพื้นฐาน
- สถาบัน
- Intelligence
- ตั้งใจว่า
- น่าสนใจ
- IP
- ที่อยู่ IP
- IT
- ITS
- JavaScript
- ผู้สื่อข่าว
- jpg
- ที่รู้จักกัน
- ห้องปฏิบัติการ
- ล่าสุด
- น้อยที่สุด
- ให้
- กดไลก์
- การเชื่อมโยง
- ทำ
- การจัดการ
- การตลาด
- แมคโดนัลด์
- สมาชิก
- ครึ่ง
- ไมโครซอฟท์
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ย้าย
- หลาย
- ชื่อ
- ชื่อบริการ
- Namecheap
- การตั้งชื่อ
- แห่งชาติ
- จำเป็นต้อง
- ใหม่
- เอ็นจีโอ
- ยวด
- หมายเหตุ / รายละเอียดเพิ่มเติม
- นิวเคลียร์
- การได้รับ
- of
- เจ้าหน้าที่
- มักจะ
- on
- ครั้งเดียว
- เพียง
- การดำเนินการ
- or
- องค์กร
- อื่นๆ
- ออก
- ของตนเอง
- แพคเกจ
- พารามิเตอร์
- สมาชิกของรัฐสภา
- ร่วมมือ
- รหัสผ่าน
- อดีต
- รูปแบบ
- รูปแบบไฟล์ PDF
- ต่อ
- ฟิชชิ่ง
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- จุด
- การเมือง
- พอร์ทัล
- ที่มีศักยภาพ
- ป้องกัน
- ประถม
- ส่วนตัว
- โปรไฟล์
- การป้องกัน
- ให้
- ผู้จัดหา
- ให้
- การให้
- หนังสือมอบฉันทะ
- สาธารณะ
- สุ่ม
- RE
- เมื่อเร็ว ๆ นี้
- บันทึก
- เปลี่ยนเส้นทาง
- ลงทะเบียน
- ที่เกี่ยวข้อง
- ลบ
- รายงาน
- ความต้องการ
- การวิจัย
- นักวิจัย
- ย้อนกลับ
- ริชาร์ด
- อุปสรรค
- รัสเซีย
- s
- เดียวกัน
- การสแกน
- สคริปต์
- ภาค
- เห็น
- ส่ง
- เซิร์ฟเวอร์
- เซิร์ฟเวอร์
- บริการ
- บริการ
- ชุด
- Share
- ใช้งานร่วมกัน
- เปลี่ยน
- ในไม่ช้า
- คล้ายคลึงกัน
- ตั้งแต่
- เล็ก
- มีขนาดเล็กกว่า
- So
- บาง
- กีฬา
- ดาว
- ข้อความที่เริ่ม
- ชิงทรัพย์
- สจ๊วต
- ยังคง
- ความสำเร็จ
- ที่ประสบความสำเร็จ
- อย่างเช่น
- สนับสนุน
- กลยุทธ์
- ถัง
- เป้า
- เป้าหมาย
- เทคนิค
- ที่
- พื้นที่
- การโจรกรรม
- ของพวกเขา
- พวกเขา
- แล้วก็
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- คิด
- นี้
- ในสัปดาห์นี้
- การคุกคาม
- วันพฤหัสบดี
- เวลา
- ไปยัง
- เป็นปกติ
- เรา
- Uk
- รัฐบาลสหราชอาณาจักร
- ประเทศยูเครน
- อัพเกรด
- การอัพเกรด
- us
- ใช้
- มือสอง
- ผู้ใช้งาน
- ใช้
- การใช้
- นำไปใช้
- เหยื่อ
- เสมือน
- คือ
- สัปดาห์
- ดี
- เมื่อ
- ที่
- กับ
- ภายใน
- ปี
- ลมทะเล