Russlands APT „Star Blizzard“ verbessert seine Tarnung, wird aber erneut entlarvt

Nach mehreren Aufdeckungen und Störungen hat ein vom Kreml geförderter APT-Akteur (Advanced Persistent Threat) seine Umgehungstechniken erneut verbessert. Allerdings wurde dieser Schritt diese Woche auch von Microsoft aufgedeckt.

„Star Blizzard“ (auch bekannt als Seaborgium, BlueCharlie, Callisto Group und Coldriver) führt seit mindestens 2017 E-Mail-Zugangsdatendiebstahl im Dienste von Cyberspionage- und Cyber-Einflusskampagnen durch. In der Vergangenheit konzentrierte sich sein Ziel auf öffentliche und private Organisationen in der NATO Mitgliedsländer, typischerweise in Bereichen mit Bezug zu Politik, Verteidigung und verwandten Sektoren – NGOs, Denkfabriken, Journalisten, akademische Einrichtungen, zwischenstaatliche Organisationen und so weiter. In den letzten Jahren wurden insbesondere Personen und Organisationen ins Visier genommen, die die Ukraine unterstützen.

Aber bei jedem erfolgreichen Verstoß ist Star Blizzard auch für seine OpSec-Misserfolge bekannt. Microsoft löste die Gruppe im August 2022 auf und seitdem hat Recorded Future es nicht so subtil verfolgt versuchte, auf eine neue Infrastruktur umzusteigen. Und am Donnerstag kehrte Microsoft zurück, um darüber zu berichten seine jüngsten Ausweichversuche. Zu diesen Bemühungen gehören fünf wichtige neue Tricks, insbesondere die Nutzung von E-Mail-Marketing-Plattformen als Waffe.

Microsoft lehnte es ab, einen Kommentar zu diesem Artikel abzugeben.

Die neuesten TTPs von Star Blizzard

Um das Umgehen von E-Mail-Filtern zu erleichtern, hat Star Blizzard damit begonnen, passwortgeschützte PDF-Köderdokumente oder Links zu Cloud-basierten Dateifreigabeplattformen zu verwenden, in denen die geschützten PDFs enthalten sind. Die Passwörter für diese Dokumente sind normalerweise in derselben Phishing-E-Mail enthalten oder werden kurz nach der ersten E-Mail verschickt.

Als kleine Hürden für eine potenzielle menschliche Analyse hat Star Blizzard damit begonnen, einen Domain Name Service (DNS)-Anbieter als Reverse-Proxy zu verwenden – der die mit seinen virtuellen privaten Servern (VPSs) verknüpften IP-Adressen verschleiert – und serverseitige JavaScript-Snippets, die eine Automatisierung verhindern sollen Scannen seiner Infrastruktur.

Außerdem wird ein stärker randomisierter Domänengenerierungsalgorithmus (DGA) verwendet, um die Erkennung von Mustern in seinen Domänen umständlicher zu machen. Wie Microsoft jedoch betont, haben Star Blizzard-Domänen immer noch bestimmte charakteristische Merkmale gemeinsam: Sie werden normalerweise bei Namecheap registriert, in Gruppen, die oft ähnliche Namenskonventionen verwenden, und sie verfügen über TLS-Zertifizierungen von Let’s Encrypt.

Und neben seinen kleineren Tricks hat Star Blizzard damit begonnen, die E-Mail-Marketing-Dienste Mailerlite und HubSpot für die Steuerung seiner Phishing-Eskapaden zu nutzen.

Einsatz von E-Mail-Marketing für Phishing

Wie Microsoft in seinem Blog erklärte: „Der Akteur nutzt diese Dienste, um eine E-Mail-Kampagne zu erstellen, die ihm eine dedizierte Subdomain auf dem Dienst zur Verfügung stellt, die dann zum Erstellen von URLs verwendet wird.“ Diese URLs fungieren als Einstiegspunkt zu einer Weiterleitungskette, die bei akteurgesteuert endet Evilginx-Serverinfrastruktur. Die Dienste können dem Benutzer auch eine dedizierte E-Mail-Adresse pro konfigurierter E-Mail-Kampagne zur Verfügung stellen, die der Bedrohungsakteur nachweislich als Absenderadresse in seinen Kampagnen verwendet.“

Manchmal haben die Hacker ihre Taktiken gekreuzt und die E-Mail-Marketing-URLs, die sie zur Weiterleitung auf ihre bösartigen Server verwenden, in den Text ihrer passwortgeschützten PDFs eingebettet. Durch diese Kombination entfällt die Notwendigkeit, eine eigene Domäneninfrastruktur in die E-Mails einzubinden.

„Der Einsatz von Cloud-basierten Plattformen wie HubSpot, MailerLite und virtuellen privaten Servern (VPS) in Verbindung mit serverseitigen Skripten zur Verhinderung automatisierter Scans ist ein interessanter Ansatz“, erklärt Zoey Selman, Threat Intelligence-Analyst der Recorded Future Insikt Group ermöglicht es BlueCharlie, Zulassungsparameter festzulegen, um das Opfer nur dann zur Infrastruktur des Bedrohungsakteurs umzuleiten, wenn die Anforderungen erfüllt sind.“

Kürzlich beobachteten Forscher, wie die Gruppe E-Mail-Marketing-Dienste nutzte, um Denkfabriken und Forschungsorganisationen anzusprechen und dabei einen gemeinsamen Köder nutzte, mit dem Ziel, Anmeldeinformationen für ein US-Förderungsverwaltungsportal zu erhalten.

Selman bemerkt, dass die Gruppe in jüngster Zeit auch einige andere Erfolge verbuchen konnte, „vor allem gegen britische Regierungsbeamte bei der Beschaffung von Anmeldeinformationen und Hack-and-Leak-Operationen, die bei Einflussnahmeoperationen zum Einsatz kommen, etwa gegen den ehemaligen britischen MI6-Chef Richard Dearlove.“ Der Parlamentarier Stewart McDonald hat bekanntermaßen zumindest versucht, Mitarbeiter einiger der bekanntesten nationalen Nuklearlabore der USA ins Visier zu nehmen.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked