La APT 'Star Blizzard' de Rusia mejora su sigilo, solo para ser desenmascarada nuevamente

Después de múltiples exposiciones e interrupciones, un actor de amenazas persistentes avanzadas (APT, por sus siglas en inglés) patrocinado por el Kremlin ha vuelto a mejorar sus técnicas de evasión. Sin embargo, esa medida también fue expuesta esta semana por Microsoft.

“Star Blizzard” (también conocido como Seaborgium, BlueCharlie, Callisto Group y Coldriver) ha estado robando credenciales de correo electrónico al servicio de campañas de ciberespionaje y ciberinfluencia desde al menos 2017. Históricamente, ha centrado su objetivo en organizaciones públicas y privadas de la OTAN. países miembros, generalmente en campos relacionados con la política, la defensa y sectores relacionados: ONG, grupos de expertos, periodistas, instituciones académicas, organizaciones intergubernamentales, etc. En los últimos años, se ha dirigido especialmente a personas y organizaciones que brindan apoyo a Ucrania.

Pero por cada infracción exitosa, Star Blizzard también es conocida por sus fallas en OpSec. microsoft interrumpió el grupo en agosto de 2022 y, desde entonces, Recorded Future lo ha seguido, ya que no tan sutilmente intentó cambiar a una nueva infraestructura. Y el jueves, Microsoft volvió a informar sobre sus últimos esfuerzos de evasión. Estos esfuerzos incluyen cinco nuevos trucos principales, en particular la utilización de plataformas de marketing por correo electrónico como armas.

Microsoft se negó a proporcionar comentarios para este artículo.

Los últimos TTP de Star Blizzard

Para ayudar a burlar los filtros de correo electrónico, Star Blizzard ha comenzado a utilizar documentos PDF protegidos con contraseña o enlaces a plataformas para compartir archivos basadas en la nube que contienen los archivos PDF protegidos. Las contraseñas de estos documentos normalmente vienen empaquetadas en el mismo correo electrónico de phishing o en un correo electrónico enviado poco después del primero.

Como pequeños obstáculos para un posible análisis humano, Star Blizzard ha comenzado a utilizar un proveedor de servicios de nombres de dominio (DNS) como proxy inverso (ocultando las direcciones IP asociadas con sus servidores privados virtuales (VPS)) y fragmentos de JavaScript del lado del servidor destinados a evitar la automatización. escaneo de su infraestructura.

También está utilizando un algoritmo de generación de dominios (DGA) más aleatorio, para hacer más engorrosa la detección de patrones en sus dominios. Sin embargo, como señala Microsoft, los dominios de Star Blizzard aún comparten ciertas características definitorias: generalmente están registrados con Namecheap, en grupos que a menudo usan convenciones de nomenclatura similares, y cuentan con certificaciones TLS de Let's Encrypt.

Y además de sus pequeños trucos, Star Blizzard ha comenzado a utilizar los servicios de marketing por correo electrónico Mailerlite y HubSpot para dirigir sus aventuras de phishing.

Uso del marketing por correo electrónico para phishing

Como explicó Microsoft en su blog, “el actor utiliza estos servicios para crear una campaña de correo electrónico, que les proporciona un subdominio dedicado en el servicio que luego se utiliza para crear URL. Estas URL actúan como punto de entrada a una cadena de redireccionamiento que termina en un punto controlado por el actor. Infraestructura del servidor Evilginx. Los servicios también pueden proporcionar al usuario una dirección de correo electrónico dedicada por campaña de correo electrónico configurada, que se ha visto que el actor de amenazas utiliza como la dirección 'De' en sus campañas".

A veces, los piratas informáticos han cruzado tácticas, incrustando en el cuerpo de sus archivos PDF protegidos con contraseña las URL de marketing por correo electrónico que utilizan para redirigir a sus servidores maliciosos. Esta combinación elimina la necesidad de incluir su propia infraestructura de dominio en los correos electrónicos.

"Su uso de plataformas basadas en la nube como HubSpot, MailerLite y servidores privados virtuales (VPS) asociados con scripts del lado del servidor para evitar el escaneo automatizado es un enfoque interesante", explica Zoey Selman, analista de inteligencia de amenazas de Recorded Future Insikt Group, "ya que permite a BlueCharlie establecer parámetros de permiso para redirigir a la víctima a la infraestructura del actor de amenazas solo cuando se cumplen los requisitos”.

Recientemente, los investigadores observaron que el grupo utilizaba servicios de marketing por correo electrónico para dirigirse a think tanks y organizaciones de investigación, utilizando un señuelo común, con el objetivo de obtener credenciales para un portal de gestión de subvenciones de EE. UU.

El grupo también ha tenido otros éxitos recientes, señala Selman, “sobre todo contra funcionarios del gobierno del Reino Unido en operaciones de recolección de credenciales y piratería y filtración utilizadas en operaciones de influencia, como contra el ex jefe del MI6 del Reino Unido, Richard Dearlove, el británico Parlamentario Stewart McDonald, y se sabe que al menos intentó atacar a empleados de algunos de los laboratorios nucleares nacionales más destacados de Estados Unidos”.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked