Az orosz „Star Blizzard” APT továbbfejleszti a Stealth-jét, és csak újra lelepleződik

Többszöri leleplezés és zavarok után a Kreml által szponzorált fejlett tartós fenyegetés (APT) szereplője ismét továbbfejlesztette az elkerülési technikákat. Ezt a lépést azonban ezen a héten is nyilvánosságra hozta a Microsoft.

“Star Blizzard” (aka Seaborgium, BlueCharlie, Callisto Group, and Coldriver) has been carrying out email credential theft in service of cyberespionage and cyber influence campaigns since at least 2017. Historically, it has focused its aim on public and private organizations in NATO member countries, typically in fields related to politics, defense, and related sectors — NGOs, think tanks, journalists, academic institutions, intergovernmental organizations, and so on. In recent years, it has especially targeted individuals and organizations providing support for Ukraine.

De minden sikeres jogsértésről a Star Blizzard az OpSec hibáiról is ismert. Microsoft 2022 augusztusában megzavarta a csoportot és az azóta eltelt időben a Recorded Future nyomon követte, mivel nem olyan finoman megpróbált áttérni az új infrastruktúrára. Csütörtökön pedig a Microsoft visszatért, hogy beszámoljon róla legutóbbi kijátszási erőfeszítései. Ezek az erőfeszítések öt elsődleges új trükköt foglalnak magukban, amelyek közül a legjelentősebb az e-mail marketing platformok fegyveresítése.

A Microsoft nem volt hajlandó megjegyzést fűzni ehhez a cikkhez.

Star Blizzard’s Latest TTPs

Az e-mail szűrők elkerülésének elősegítése érdekében a Star Blizzard jelszóval védett PDF csalogató dokumentumokat vagy felhőalapú fájlmegosztó platformokra mutató hivatkozásokat kezdett használni a védett PDF-ekkel. Az ezekhez a dokumentumokhoz tartozó jelszavak általában ugyanabban az adathalász e-mailben, vagy röviddel az első után küldött e-mailben érkeznek.

A lehetséges emberi elemzések kis akadályaként a Star Blizzard egy DNS-szolgáltatót kezdett el fordított proxyként használni – eltakarva a virtuális privát szervereihez (VPS) társított IP-címeket – és szerveroldali JavaScript-kódrészleteket, amelyek célja az automatizálás megakadályozása. infrastruktúrájának szkennelése.

It’s also using a more randomized domain generation algorithm (DGA), to make detecting patterns in its domains more cumbersome. As Microsoft points out however, Star Blizzard domains still share certain defining characteristics: they’re typically registered with Namecheap, in groups that often use similar naming conventions, and they sport TLS certifications from Let’s Encrypt.

És a kisebb trükkjei mellett a Star Blizzard elkezdte használni a Mailerlite és a HubSpot e-mailes marketing szolgáltatásokat az adathalász támadások irányítására.

E-mail marketing használata adathalászathoz

As Microsoft explained in its blog, “the actor uses these services to create an email campaign, which provides them with a dedicated subdomain on the service that is then used to create URLs. These URLs act as the entry point to a redirection chain ending at actor-controlled Evilginx szerver infrastruktúra. The services can also provide the user with a dedicated email address per configured email campaign, which the threat actor has been seen to use as the ‘From’ address in their campaigns.”

A hackerek néha átléptek a taktikán, és beágyazták a jelszóval védett PDF-ek törzsébe azokat az e-mail marketing URL-címeket, amelyeket a rosszindulatú szervereikre való átirányításhoz használnak. Ez a kombináció megszünteti annak szükségességét, hogy az e-mailekben saját tartományi infrastruktúrát is tartalmazzon.

“Their use of cloud-based platforms like HubSpot, MailerLite, and virtual private servers (VPS) partnered with server-side scripts to prevent automated scanning is an interesting approach,” explains Recorded Future Insikt Group threat intelligence analyst Zoey Selman, “as it enables BlueCharlie to set allow parameters to redirect the victim to threat actor infrastructure only when the requirements are met.”

A közelmúltban a kutatók megfigyelték, hogy a csoport e-mail marketing szolgáltatásokat használ agytrösztök és kutatószervezetek megcélzására, közös csábítással, azzal a céllal, hogy hitelesítő adatokat szerezzen egy amerikai támogatáskezelő portálhoz.

The group has seen some other recent success, as well, Selman notes, “most notably against UK government officials in credential-harvesting and hack-and-leak operations in use in influence operations, such as against former UK MI6 chief Richard Dearlove, British Parliamentarian Stewart McDonald, and is known to have at least attempted to target employees of some of the US’ most high profile national nuclear laboratories.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked