بعد عدة تعرضات واضطرابات، قامت جهة فاعلة في مجال التهديد المستمر المتقدم (APT) برعاية الكرملين مرة أخرى بتحديث تقنيات التهرب الخاصة بها. ومع ذلك، تم الكشف عن هذه الخطوة أيضًا هذا الأسبوع بواسطة Microsoft.
تقوم شركة "Star Blizzard" (المعروفة أيضًا باسم Seaborgium وBlueCharlie وCallisto Group وColdriver) بسرقة بيانات اعتماد البريد الإلكتروني في خدمة التجسس الإلكتروني وحملات التأثير الإلكتروني منذ عام 2017 على الأقل. وتاريخيًا، ركزت هدفها على المنظمات العامة والخاصة في الناتو. الدول الأعضاء، عادة في المجالات المتعلقة بالسياسة والدفاع والقطاعات ذات الصلة - المنظمات غير الحكومية ومراكز الفكر والصحفيين والمؤسسات الأكاديمية والمنظمات الحكومية الدولية، وما إلى ذلك. وفي السنوات الأخيرة، استهدفت بشكل خاص الأفراد والمنظمات التي تقدم الدعم لأوكرانيا.
ولكن مقابل كل اختراق ناجح، تُعرف Star Blizzard أيضًا بإخفاقات OpSec. مايكروسوفت عطلت المجموعة في أغسطس 2022 ومنذ ذلك الحين، قامت شركة Recorded Future بتتبعها على أنها ليست بمهارة حاولت التحول إلى البنية التحتية الجديدة. ويوم الخميس، عادت مايكروسوفت لتقديم تقرير عنها أحدث جهودها في التهرب. وتشمل هذه الجهود خمس حيل أساسية جديدة، أبرزها تحويل منصات التسويق عبر البريد الإلكتروني إلى أسلحة.
رفضت Microsoft تقديم تعليق على هذه المقالة.
أحدث TTPs لـStar Blizzard
للمساعدة في التسلل إلى مرشحات البريد الإلكتروني السابقة، بدأت Star Blizzard في استخدام مستندات PDF محمية بكلمة مرور، أو روابط لمنصات مشاركة الملفات المستندة إلى السحابة مع ملفات PDF المحمية الموجودة بداخلها. عادةً ما تأتي كلمات المرور الخاصة بهذه المستندات مجمعة في نفس البريد الإلكتروني للتصيد الاحتيالي، أو في بريد إلكتروني يتم إرساله بعد وقت قصير من البريد الأول.
باعتبارها حواجز صغيرة أمام التحليل البشري المحتمل، بدأت Star Blizzard في استخدام مزود خدمة اسم النطاق (DNS) كوكيل عكسي - لحجب عناوين IP المرتبطة بخوادمها الافتراضية الخاصة (VPSs) - ومقتطفات JavaScript من جانب الخادم التي تهدف إلى منع التشغيل الآلي مسح بنيتها التحتية.
كما أنها تستخدم خوارزمية إنشاء نطاقات أكثر عشوائية (DGA)، لجعل اكتشاف الأنماط في نطاقاتها أكثر تعقيدًا. ومع ذلك، كما تشير Microsoft، لا تزال نطاقات Star Blizzard تشترك في بعض الخصائص المميزة: فهي مسجلة عادةً في Namecheap، في مجموعات تستخدم غالبًا اصطلاحات تسمية مماثلة، وتتمتع بشهادات TLS من Let's Encrypt.
وإلى جانب حيلها الأصغر، بدأت Star Blizzard في استخدام خدمات التسويق عبر البريد الإلكتروني Mailerlite وHubSpot لتوجيه مغامرات التصيد الاحتيالي.
استخدام التسويق عبر البريد الإلكتروني للتصيد الاحتيالي
وكما أوضحت مايكروسوفت في مدونتها، فإن “الممثل يستخدم هذه الخدمات لإنشاء حملة بريد إلكتروني، والتي توفر له نطاقًا فرعيًا مخصصًا على الخدمة يتم استخدامه بعد ذلك لإنشاء عناوين URL. تعمل عناوين URL هذه كنقطة دخول إلى سلسلة إعادة التوجيه التي تنتهي بتحكم الممثل البنية التحتية لخادم Evilginx. يمكن للخدمات أيضًا أن تزود المستخدم بعنوان بريد إلكتروني مخصص لكل حملة بريد إلكتروني تم تكوينها، والذي شوهد أن جهة التهديد تستخدمه كعنوان "من" في حملاتها."
في بعض الأحيان يكون المتسللون قد تجاوزوا التكتيكات، حيث قاموا بتضمين عناوين URL لتسويق البريد الإلكتروني في نص ملفات PDF المحمية بكلمة مرور والتي يستخدمونها لإعادة التوجيه إلى خوادمهم الضارة. يلغي هذا التحرير والسرد الحاجة إلى تضمين البنية الأساسية للمجال الخاص به في رسائل البريد الإلكتروني.
"إن استخدامهم للمنصات المستندة إلى السحابة مثل HubSpot وMailerLite والخوادم الافتراضية الخاصة (VPS) بالشراكة مع البرامج النصية من جانب الخادم لمنع الفحص الآلي يعد أسلوبًا مثيرًا للاهتمام،" كما يوضح محلل استخبارات التهديدات في مجموعة Recorded Future Insikt Group Zoey Selman، "كما أنه يمكّن BlueCharlie من تعيين معلمات السماح لإعادة توجيه الضحية إلى البنية التحتية لممثل التهديد فقط عند استيفاء المتطلبات.
في الآونة الأخيرة، لاحظ الباحثون أن المجموعة تستخدم خدمات التسويق عبر البريد الإلكتروني لاستهداف مراكز الأبحاث والمنظمات البحثية، وذلك باستخدام إغراء مشترك، بهدف الحصول على أوراق اعتماد لبوابة إدارة المنح الأمريكية.
وقد شهدت المجموعة بعض النجاحات الأخرى مؤخرًا أيضًا، كما يشير سلمان، "على الأخص ضد المسؤولين الحكوميين في المملكة المتحدة في عمليات جمع الاعتمادات وعمليات الاختراق والتسريب المستخدمة في عمليات التأثير، مثل ما حدث ضد رئيس MI6 البريطاني السابق ريتشارد ديرلوف، البريطاني". البرلماني ستيوارت ماكدونالد، ومن المعروف أنه حاول على الأقل استهداف موظفي بعض المختبرات النووية الوطنية الأكثر شهرة في الولايات المتحدة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked
- :لديها
- :يكون
- :ليس
- 2017
- a
- أكاديمي
- عمل
- العنوان
- عناوين
- متقدم
- تهديد مستمر متقدم
- بعد
- مرة أخرى
- ضد
- مساعدة
- هدف
- يعرف أيضا باسم
- خوارزمية
- السماح
- أيضا
- an
- تحليل
- المحلل
- و
- نهج
- APT
- هي
- البند
- AS
- أسوشيتد
- At
- حاول
- أغسطس
- الآلي
- BE
- كان
- بدأت
- بالإضافة إلى
- عاصفة ثلجية
- المدونة
- الجسدي
- خرق
- بريطاني
- by
- الحملات
- الحملات
- CAN
- تحمل
- معين
- الشهادات
- سلسلة
- الخصائص
- رئيس
- تأتي
- التعليق
- مشترك
- تكوين
- الواردة
- الاتفاقيات
- دولة
- خلق
- الاعتماد
- أوراق اعتماد
- عبرت
- مرهقة
- الانترنت
- التجسس الإلكتروني
- مخصصة
- الدفاع
- تحديد
- توجيه
- الاضطرابات
- DNS
- وثائق
- نطاق
- اسم نطاق
- المجالات
- جهود
- البريد الإلكتروني
- التسويق عبر البريد الإلكتروني
- رسائل البريد الإلكتروني
- تضمين
- الموظفين
- تمكن
- إنهاء
- دخول
- خاصة
- الأثير (ETH)
- كل
- شرح
- ويوضح
- مكشوف
- الفشل
- مجال
- قم بتقديم
- مرشحات
- الاسم الأول
- خمسة
- ركز
- في حالة
- سابق
- تبدأ من
- مستقبل
- جيل
- هدف
- حكومة
- المسؤولون الحكوميون
- منح
- تجمع
- مجموعات
- قراصنة
- يملك
- مرتفع
- تاريخيا
- لكن
- HTTPS
- HubSpot
- الانسان
- in
- تتضمن
- الأفراد
- تأثير
- البنية التحتية
- المؤسسات
- رؤيتنا
- معد
- وكتابة مواضيع مثيرة للاهتمام
- IP
- عناوين الانترنت بروتوكول
- IT
- انها
- جافا سكريبت
- الصحفيين
- JPG
- معروف
- مختبرات
- آخر
- الأقل
- اسمحوا
- مثل
- وصلات
- جعل
- إدارة
- التسويق
- ماكدونالد
- عضو
- قابل
- مایکروسافت
- الأكثر من ذلك
- أكثر
- خطوة
- متعدد
- الاسم
- خدمة الاسم
- Namecheap
- تسمية
- محليات
- حاجة
- جديد
- حيل جديدة
- المنظمات غير الحكومية
- لا سيما
- ملاحظة
- نووي
- ملاحظ
- الحصول على
- of
- مسؤولون
- غالبا
- on
- مرة
- فقط
- عمليات
- or
- المنظمات
- أخرى
- خارج
- الخاصة
- معلب
- المعلمات
- البرلمان
- شراكة
- كلمات السر
- الماضي
- أنماط
- إلى
- التصيد
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- البوينت
- نقاط
- سياسة
- بوابة
- محتمل
- منع
- ابتدائي
- خاص
- ملفي الشخصي
- محمي
- تزود
- مزود
- ويوفر
- توفير
- الوكيل
- جمهور
- عشوائي
- RE
- الأخيرة
- مسجل
- إعادة توجيه
- مسجل
- ذات صلة
- يزيل
- تقرير
- المتطلبات الأساسية
- بحث
- الباحثين
- عكس
- ريتشارد
- الحواجز
- روسيا
- s
- نفسه
- مسح
- مخطوطات
- قطاعات
- رأيت
- أرسلت
- الخادم
- الخوادم
- الخدمة
- خدماتنا
- طقم
- مشاركة
- مشاركة
- نقل
- قريبا
- مماثل
- منذ
- صغير
- الأصغر
- So
- بعض
- رياضة
- Star
- بدأت
- الشبح الأسود
- ستيوارت
- لا يزال
- فرعي
- تحقيق النجاح
- ناجح
- هذه
- الدعم
- التكتيكات
- الدبابات
- الهدف
- المستهدفة
- تقنيات
- أن
- •
- سرقة
- من مشاركة
- منهم
- then
- تشبه
- هم
- اعتقد
- هذا الأسبوع
- التهديد
- استخبارات التهديد
- الخميس
- الوقت
- TLS
- إلى
- عادة
- لنا
- Uk
- حكومة المملكة المتحدة
- أوكرانيا
- ترقية
- ترقيات
- us
- تستخدم
- مستعمل
- مستخدم
- يستخدم
- استخدام
- الاستفادة من
- ضحية
- افتراضي
- وكان
- أسبوع
- حسن
- متى
- التي
- مع
- في غضون
- سنوات
- زفيرنت