经过多次曝光和破坏后,克里姆林宫资助的高级持续威胁 (APT) 攻击者再次升级了其规避技术。 然而,微软本周也曝光了这一举措。
“Star Blizzard”(又名 Seaborgium、BlueCharlie、Callisto Group 和 Coldriver)至少自 2017 年以来一直在为网络间谍和网络影响活动服务而进行电子邮件凭据盗窃。从历史上看,它的目标主要是北约的公共和私人组织成员国,通常涉及政治、国防和相关部门——非政府组织、智囊团、记者、学术机构、政府间组织等。 近年来,它特别针对为乌克兰提供支持的个人和组织。
但对于每一次成功的违规行为,Star Blizzard 也因其 OpSec 失败而闻名。 微软 2022年XNUMX月扰乱团体 从那以后,Recorded Future 一直在追踪它,因为它并不那么微妙 尝试转向新基建。 周四,微软返回报告 其最新的逃避努力。 这些努力包括五个主要新技巧,最引人注目的是电子邮件营销平台的武器化。
微软拒绝对本文发表评论。
星暴雪的最新 TTP
为了帮助绕过电子邮件过滤器,Star Blizzard 已开始使用受密码保护的 PDF 诱饵文档,或指向基于云的文件共享平台(其中包含受保护的 PDF)的链接。 这些文档的密码通常打包在同一封网络钓鱼电子邮件中,或者在第一封电子邮件之后不久发送的电子邮件中。
作为潜在人工分析的小障碍,Star Blizzard 已开始使用域名服务 (DNS) 提供商作为反向代理 — 隐藏与其虚拟专用服务器 (VPS) 关联的 IP 地址 — 以及旨在阻止自动化分析的服务器端 JavaScript 片段扫描其基础设施。
它还使用更加随机的域生成算法(DGA),使检测其域中的模式变得更加麻烦。 然而,正如微软指出的那样,Star Blizzard 域仍然具有某些定义特征:它们通常在 Namecheap 中注册,在经常使用类似命名约定的组中,并且它们具有 Let's Encrypt 的 TLS 认证。
除了较小的伎俩之外,Star Blizzard 还开始利用电子邮件营销服务 Mailerlite 和 HubSpot 来指挥其网络钓鱼行为。
使用电子邮件营销进行网络钓鱼
正如微软在其博客中解释的那样,“攻击者使用这些服务来创建电子邮件活动,这为他们提供了服务上的专用子域,然后用于创建 URL。 这些 URL 充当以 actor 控制结尾的重定向链的入口点 Evilginx 服务器基础设施。 这些服务还可以为用户提供每个配置的电子邮件活动的专用电子邮件地址,威胁行为者已将其用作其活动中的“发件人”地址。”
有时,黑客会采取交叉策略,在受密码保护的 PDF 正文中嵌入电子邮件营销 URL,用于重定向到恶意服务器。 此组合消除了在电子邮件中包含其自己的域基础设施的需要。
Recorded Future Insikt Group 威胁情报分析师 Zoey Selman 解释道:“他们使用 HubSpot、MailerLite 等基于云的平台以及虚拟专用服务器 (VPS) 与服务器端脚本配合来防止自动扫描,这是一种有趣的方法,”使 BlueCharlie 能够设置允许参数,仅在满足要求时将受害者重定向到威胁参与者基础设施。”
最近,研究人员观察到该组织使用电子邮件营销服务来针对智囊团和研究组织,使用共同的诱惑,目的是获得美国赠款管理门户的凭据。
塞尔曼指出,该组织最近还取得了一些其他成功,“最引人注目的是针对英国政府官员在影响力行动中使用的凭证收集和黑客泄露行动,例如针对前英国军情六处局长理查德·迪尔洛夫(Richard Dearlove),英国议员斯图尔特·麦克唐纳(Stewart McDonald),据悉至少曾试图针对美国一些最知名的国家核实验室的员工。”
- :具有
- :是
- :不是
- 2017
- 7
- a
- 学者
- 法案
- 地址
- 地址
- 高级
- 后
- 再次
- 驳
- 援助
- 瞄准
- 又名
- 算法
- 让
- 还
- an
- 分析
- 分析人士
- 和
- 的途径
- APT
- 保健
- 刊文
- AS
- 相关
- At
- 尝试
- 八月
- 自动化
- BE
- 很
- 开始
- 除了
- 博客
- 身体
- 违反
- 英国的
- by
- 营销活动
- 活动
- CAN
- 携带
- 一定
- 认证
- 链
- 特点
- 首席
- 如何
- 评论
- 相当常见
- 配置
- 包含
- 公约
- 国家
- 创建信息图
- 凭据
- 资历
- 交叉
- 麻烦的
- 网络
- 专用
- 国防
- 定义
- 导演
- 中断
- DNS
- 文件
- 域
- 域名
- 域名
- 工作的影响。
- 邮箱地址
- 邮件营销
- 电子邮件
- 嵌入
- 员工
- 使
- 结束
- 条目
- 特别
- 逃税
- 所有的
- 解释
- 介绍
- 裸露
- 失败
- 字段
- 文件
- 过滤器
- 姓氏:
- 五
- 重点
- 针对
- 前
- 止
- 未来
- 代
- 目标
- 政府
- 政府官员
- 补助金
- 团队
- 组的
- 黑客
- 有
- 高
- 历史
- 但是
- HTTPS
- HubSpot
- 人
- in
- 包括
- 个人
- 影响
- 基础设施
- 机构
- 房源搜索
- 拟
- 有趣
- IP
- IP地址
- IT
- 它的
- JavaScript的
- 记者
- JPG
- 已知
- 实验室
- 最新
- 最少
- 让
- 喜欢
- 链接
- 使
- 颠覆性技术
- 营销
- 麦当劳
- 会员
- 一半
- 微软
- 更多
- 最先进的
- 移动
- 多
- 姓名
- 名称服务
- Namecheap
- 命名
- National
- 需求
- 全新
- 非政府组织
- 特别是
- 核
- 获得
- of
- 官员
- 经常
- on
- 一旦
- 仅由
- 运营
- or
- 组织
- 其他名称
- 输出
- 己
- συσκευάζονται
- 参数
- 国会议员
- 合作
- 密码
- 过去
- 模式
- 为
- 钓鱼
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 点
- 政治
- 门户网站
- 潜力
- 防止
- 小学
- 私立
- 本人简介
- 保护
- 提供
- 提供者
- 提供
- 优
- 代理
- 国家
- 随机化
- RE
- 最近
- 记录
- 重定向
- 在相关机构注册的
- 有关
- 移除了
- 报告
- 岗位要求
- 研究
- 研究人员
- 反转
- 理查德
- 路障
- 俄罗斯
- s
- 同
- 扫描
- 脚本
- 行业
- 看到
- 发送
- 服务器
- 服务器
- 服务
- 特色服务
- 集
- Share
- 共享
- 转移
- 不久
- 类似
- 自
- 小
- 小
- So
- 一些
- 运动
- 星
- 开始
- Stealth
- 斯图尔特
- 仍
- 成功
- 成功
- 这样
- SUPPORT
- 策略
- 坦克
- 目标
- 针对
- 技术
- 这
- 盗窃
- 其
- 他们
- 然后
- 博曼
- 他们
- 认为
- Free Introduction
- 本星期
- 威胁
- 星期四
- 次
- 至
- 一般
- 我们
- Uk
- 英国政府
- 乌克兰
- 升级
- 升级
- us
- 使用
- 用过的
- 用户
- 使用
- 运用
- 利用
- 受害者
- 在线会议
- 是
- 周
- 井
- ,尤其是
- 这
- 中
- 年
- 和风网