Venäjän "Star Blizzard" APT päivittää Stealthiä, mutta se paljastuu jälleen

Useiden paljastusten ja häiriöiden jälkeen Kremlin tukema kehittynyt jatkuva uhka (APT) -toimija on jälleen kerran päivittänyt kiertokulkutekniikkaansa. Microsoft paljasti tämän liikkeen kuitenkin myös tällä viikolla.

"Star Blizzard" (alias Seaborgium, BlueCharlie, Callisto Group ja Coldriver) on toteuttanut sähköpostivarkauksia kybervakoilu- ja kybervaikutuskampanjoiden palveluksessa ainakin vuodesta 2017 lähtien. Historiallisesti se on keskittynyt Naton julkisiin ja yksityisiin organisaatioihin. jäsenmaissa, tyypillisesti politiikkaan, puolustukseen ja niihin liittyvillä aloilla – kansalaisjärjestöt, ajatushautomot, toimittajat, akateemiset laitokset, hallitustenväliset järjestöt ja niin edelleen. Viime vuosina se on kohdistunut erityisesti Ukrainaa tukeviin henkilöihin ja organisaatioihin.

Mutta jokaisesta onnistuneesta rikkomuksesta Star Blizzard tunnetaan myös OpSec-vioistaan. Microsoft katkaisi ryhmän elokuussa 2022 ja sen jälkeen Recorded Future on seurannut sitä, koska se ei ole niin hienovarainen yrittänyt siirtyä uuteen infrastruktuuriin. Ja torstaina Microsoft palasi raportoimaan sen viimeisimmät kiertoyritykset. Näihin ponnisteluihin sisältyy viisi ensisijaista uutta temppua, joista merkittävin on sähköpostimarkkinointialustojen aseistaminen.

Microsoft kieltäytyi kommentoimasta tätä artikkelia.

Star Blizzardin uusimmat TTP:t

Star Blizzard on alkanut käyttää salasanalla suojattuja PDF-houkuttelevia asiakirjoja tai linkkejä pilvipohjaisiin tiedostojenjakoalustoihin, joissa on suojattuja PDF-tiedostoja, auttaakseen sähköpostisuodattimien ohitse. Näiden asiakirjojen salasanat pakataan yleensä samaan tietojenkalasteluviestiin tai sähköpostiin, joka lähetetään pian ensimmäisen jälkeen.

Pieninä esteinä mahdolliselle ihmisanalyysille Star Blizzard on alkanut käyttää DNS-palveluntarjoajaa käänteisenä välityspalvelimena – peittäen virtuaalisiin yksityispalvelimiinsa (VPS) liittyvät IP-osoitteet – ja palvelinpuolen JavaScript-katkelmia, joiden tarkoituksena on estää automatisoituminen. sen infrastruktuurin skannaus.

Se käyttää myös satunnaistetumpaa verkkotunnuksen generointialgoritmia (DGA), jotta sen verkkotunnusten havaitseminen olisi hankalampaa. Kuten Microsoft kuitenkin huomauttaa, Star Blizzard -verkkotunnuksilla on edelleen tiettyjä määriteltäviä ominaisuuksia: ne on tyypillisesti rekisteröity Namecheapiin ryhmiin, jotka käyttävät usein samanlaisia ​​nimeämiskäytäntöjä, ja niillä on Let’s Encryptin TLS-sertifikaatit.

Ja pienempien temppujensa lisäksi Star Blizzard on alkanut hyödyntää sähköpostimarkkinointipalveluita Mailerlite ja HubSpot tietojenkalastelupakoinsa ohjaamiseen.

Sähköpostimarkkinoinnin käyttäminen tietojenkalastelussa

Kuten Microsoft selitti blogissaan, "näyttelijä käyttää näitä palveluita sähköpostikampanjan luomiseen, joka tarjoaa heille palveluun omistetun aliverkkotunnuksen, jota käytetään sitten URL-osoitteiden luomiseen. Nämä URL-osoitteet toimivat sisääntulopisteinä uudelleenohjausketjuun, joka päättyy toimijan ohjaamaan Evilginx-palvelininfrastruktuuri. Palvelut voivat myös tarjota käyttäjälle oman sähköpostiosoitteen määritettyä sähköpostikampanjaa kohden, jota uhkatoimijan on nähty käyttävän "Lähettäjä"-osoitteena kampanjoissaan."

Joskus hakkerit ovat rikkoneet taktiikoita ja upottaneet salasanalla suojattujen PDF-tiedostojensa tekstiin sähköpostimarkkinointi-URL-osoitteet, joita he käyttävät uudelleenohjatakseen haitallisille palvelimilleen. Tämä yhdistelmä poistaa tarpeen sisällyttää sähköposteihin oma verkkotunnuksen infrastruktuuri.

"Heidän pilvipohjaisten alustojen, kuten HubSpotin, MailerLiten ja virtuaalisten yksityisten palvelimien (VPS), jotka toimivat yhteistyössä palvelinpuolen komentosarjojen kanssa automaattisen skannauksen estämiseksi, käyttö on mielenkiintoinen lähestymistapa", kertoo Recorded Future Insikt Groupin uhkien tiedusteluanalyytikko Zoey Selman. mahdollistaa BlueCharlien asettamisen sallivat parametrit ohjaamaan uhrin uhkatoimijan infrastruktuuriin vain, kun vaatimukset täyttyvät."

Äskettäin tutkijat havaitsivat ryhmän käyttävän sähköpostimarkkinointipalveluita aivoriihien ja tutkimusorganisaatioiden kohdistamiseen yhteisellä houkutuksella tavoitteenaan saada valtakirjat yhdysvaltalaiseen apurahojen hallintaportaaliin.

Selman huomauttaa, että ryhmä on saavuttanut myös muita viimeaikaisia ​​menestyksiä, "etenkin Ison-Britannian hallituksen virkamiehiä vastaan ​​valtakirjojen keräämis- ja hakkerointioperaatioissa, joita käytetään vaikuttamisoperaatioissa, kuten Britannian MI6:n entistä johtajaa, brittiläistä Richard Dearlovea vastaan. Parlamentin jäsen Stewart McDonald, ja hänen tiedetään ainakin yrittäneen kohdistaa kohteen joidenkin Yhdysvaltojen merkittävimpien kansallisten ydinlaboratorioiden työntekijöihin.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked