रूस के 'स्टार ब्लिज़ार्ड' एपीटी ने अपने स्टेल्थ को अपग्रेड किया, ताकि फिर से बेनकाब हो सके

कई एक्सपोज़र और व्यवधानों के बाद, क्रेमलिन-प्रायोजित उन्नत निरंतर खतरा (एपीटी) अभिनेता ने एक बार फिर अपनी चोरी की तकनीकों को उन्नत किया है। हालाँकि, इस सप्ताह Microsoft द्वारा उस कदम का भी खुलासा किया गया था।

"स्टार ब्लिज़ार्ड" (उर्फ सीबोर्गियम, ब्लूचार्ली, कैलिस्टो ग्रुप और कोल्ड्रिवर) कम से कम 2017 से साइबर जासूसी और साइबर प्रभाव अभियानों की सेवा में ईमेल क्रेडेंशियल चोरी कर रहा है। ऐतिहासिक रूप से, इसने नाटो में सार्वजनिक और निजी संगठनों पर अपना ध्यान केंद्रित किया है सदस्य देश, विशेष रूप से राजनीति, रक्षा और संबंधित क्षेत्रों में - गैर सरकारी संगठन, थिंक टैंक, पत्रकार, शैक्षणिक संस्थान, अंतर सरकारी संगठन, इत्यादि। हाल के वर्षों में, इसने विशेष रूप से यूक्रेन के लिए सहायता प्रदान करने वाले व्यक्तियों और संगठनों को लक्षित किया है।

लेकिन प्रत्येक सफल उल्लंघन के लिए, स्टार ब्लिज़ार्ड अपनी OpSec विफलताओं के लिए भी जाना जाता है। माइक्रोसॉफ्ट अगस्त 2022 में समूह को बाधित कर दिया और, उसके बाद से, रिकॉर्डेड फ़्यूचर ने इसे इतनी सूक्ष्मता से ट्रैक नहीं किया है नए बुनियादी ढांचे में स्थानांतरित करने का प्रयास किया गया. और गुरुवार को, Microsoft रिपोर्ट पर लौट आया यह चोरी के नवीनतम प्रयास हैं. इन प्रयासों में पाँच प्राथमिक नई युक्तियाँ शामिल हैं, विशेष रूप से ईमेल मार्केटिंग प्लेटफ़ॉर्म का हथियारीकरण।

माइक्रोसॉफ्ट ने इस आलेख के लिए टिप्पणी देने से इनकार कर दिया।

स्टार ब्लिज़ार्ड के नवीनतम टीटीपी

पिछले ईमेल फ़िल्टर को छिपाने में सहायता के लिए, स्टार ब्लिज़ार्ड ने पासवर्ड-संरक्षित पीडीएफ ल्यूर दस्तावेज़ों, या क्लाउड-आधारित फ़ाइल साझाकरण प्लेटफ़ॉर्म के लिंक का उपयोग करना शुरू कर दिया है, जिसमें सुरक्षित पीडीएफ शामिल हैं। इन दस्तावेज़ों के पासवर्ड आमतौर पर उसी फ़िशिंग ईमेल, या पहले ईमेल के तुरंत बाद भेजे गए ईमेल में पैक किए जाते हैं।

संभावित मानव विश्लेषण के लिए छोटी बाधाओं के रूप में, स्टार ब्लिज़ार्ड ने एक डोमेन नाम सेवा (डीएनएस) प्रदाता को रिवर्स प्रॉक्सी के रूप में उपयोग करना शुरू कर दिया है - अपने वर्चुअल प्राइवेट सर्वर (वीपीएस) से जुड़े आईपी पते को अस्पष्ट करना - और सर्वर-साइड जावास्क्रिप्ट स्निपेट्स का उद्देश्य स्वचालित को रोकना है इसके बुनियादी ढांचे की स्कैनिंग।

यह अपने डोमेन में पैटर्न का पता लगाने को और अधिक बोझिल बनाने के लिए अधिक यादृच्छिक डोमेन जेनरेशन एल्गोरिदम (डीजीए) का भी उपयोग कर रहा है। हालाँकि, जैसा कि माइक्रोसॉफ्ट बताता है, स्टार ब्लिज़ार्ड डोमेन अभी भी कुछ परिभाषित विशेषताओं को साझा करते हैं: वे आम तौर पर नेमस्पेस के साथ पंजीकृत होते हैं, ऐसे समूहों में जो अक्सर समान नामकरण सम्मेलनों का उपयोग करते हैं, और वे लेट्स एनक्रिप्ट से टीएलएस प्रमाणन को स्पोर्ट करते हैं।

और अपनी छोटी-छोटी तरकीबों के अलावा, स्टार ब्लिज़ार्ड ने अपनी फ़िशिंग गतिविधियों को निर्देशित करने के लिए ईमेल मार्केटिंग सेवाओं मेलरलाइट और हबस्पॉट का उपयोग करना शुरू कर दिया है।

फ़िशिंग के लिए ईमेल मार्केटिंग का उपयोग करना

जैसा कि माइक्रोसॉफ्ट ने अपने ब्लॉग में बताया है, “अभिनेता एक ईमेल अभियान बनाने के लिए इन सेवाओं का उपयोग करता है, जो उन्हें सेवा पर एक समर्पित उपडोमेन प्रदान करता है जिसका उपयोग यूआरएल बनाने के लिए किया जाता है। ये यूआरएल अभिनेता-नियंत्रित पर समाप्त होने वाली पुनर्निर्देशन श्रृंखला के प्रवेश बिंदु के रूप में कार्य करते हैं Evilginx सर्वर इंफ्रास्ट्रक्चर. सेवाएँ उपयोगकर्ता को प्रति कॉन्फ़िगर किए गए ईमेल अभियान के लिए एक समर्पित ईमेल पता भी प्रदान कर सकती हैं, जिसे धमकी देने वाले अभिनेता को अपने अभियानों में 'प्रेषक' पते के रूप में उपयोग करते देखा गया है।'

कभी-कभी हैकर्स ने रणनीति पार कर ली है, अपने पासवर्ड से सुरक्षित पीडीएफ के मुख्य भाग में ईमेल मार्केटिंग यूआरएल को एम्बेड कर दिया है जिसका उपयोग वे अपने दुर्भावनापूर्ण सर्वर पर रीडायरेक्ट करने के लिए करते हैं। यह कॉम्बो ईमेल में अपने स्वयं के डोमेन इंफ्रास्ट्रक्चर को शामिल करने की आवश्यकता को हटा देता है।

रिकॉर्डेड फ्यूचर इंसिक्ट ग्रुप के खतरे के खुफिया विश्लेषक ज़ोए सेल्मन बताते हैं, "स्वचालित स्कैनिंग को रोकने के लिए सर्वर-साइड स्क्रिप्ट के साथ साझेदारी में हबस्पॉट, मेलरलाइट और वर्चुअल प्राइवेट सर्वर (वीपीएस) जैसे क्लाउड-आधारित प्लेटफ़ॉर्म का उपयोग एक दिलचस्प दृष्टिकोण है।" ब्लूचार्ली को आवश्यकताएं पूरी होने पर ही पीड़ित को धमकी देने वाले अभिनेता के बुनियादी ढांचे पर पुनर्निर्देशित करने के लिए अनुमति पैरामीटर सेट करने में सक्षम बनाता है।

हाल ही में, शोधकर्ताओं ने एक अमेरिकी अनुदान प्रबंधन पोर्टल के लिए क्रेडेंशियल प्राप्त करने के लक्ष्य के साथ, एक सामान्य लालच का उपयोग करते हुए, थिंक टैंक और अनुसंधान संगठनों को लक्षित करने के लिए ईमेल मार्केटिंग सेवाओं का उपयोग करने वाले समूह को देखा।

समूह ने कुछ अन्य हालिया सफलता भी देखी है, साथ ही, सेलमैन ने नोट किया, "विशेष रूप से प्रभाव संचालन में उपयोग में आने वाले क्रेडेंशियल-हार्वेस्टिंग और हैक-एंड-लीक ऑपरेशन में यूके सरकार के अधिकारियों के खिलाफ, जैसे कि पूर्व यूके एमआई 6 प्रमुख रिचर्ड डियरलोव, ब्रिटिश के खिलाफ सांसद स्टीवर्ट मैक्डोनाल्ड, और यह ज्ञात है कि उन्होंने कम से कम अमेरिका की कुछ सबसे उच्च प्रोफ़ाइल राष्ट्रीय परमाणु प्रयोगशालाओं के कर्मचारियों को लक्षित करने का प्रयास किया था।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked