APT 'Star Blizzard' Rusia Meningkatkan Kemampuan Silumannya, Hanya untuk Dibuka Lagi

Setelah beberapa kali terpapar dan mengalami gangguan, pelaku ancaman persisten tingkat lanjut (APT) yang disponsori Kremlin sekali lagi meningkatkan teknik penghindarannya. Namun, langkah itu juga terungkap minggu ini oleh Microsoft.

“Star Blizzard” (alias Seaborgium, BlueCharlie, Callisto Group, dan Coldriver) telah melakukan pencurian kredensial email untuk tujuan spionase dunia maya dan kampanye pengaruh dunia maya setidaknya sejak tahun 2017. Secara historis, mereka memfokuskan tujuannya pada organisasi publik dan swasta di NATO negara-negara anggota, biasanya di bidang yang berkaitan dengan politik, pertahanan, dan sektor terkait — LSM, lembaga pemikir, jurnalis, lembaga akademis, organisasi antar pemerintah, dan sebagainya. Dalam beberapa tahun terakhir, mereka secara khusus menargetkan individu dan organisasi yang memberikan dukungan untuk Ukraina.

Namun untuk setiap pelanggaran yang berhasil, Star Blizzard juga dikenal karena kegagalan OpSec-nya. Microsoft mengganggu grup pada Agustus 2022 dan, sejak saat itu, Recorded Future telah melacaknya dengan tidak terlalu halus berupaya untuk beralih ke infrastruktur baru. Dan pada hari Kamis, Microsoft kembali melaporkan upaya terbarunya dalam penghindaran. Upaya ini mencakup lima trik utama baru, terutama penggunaan platform pemasaran email.

Microsoft menolak memberikan komentar untuk artikel ini.

TTP Terbaru Star Blizzard

Untuk membantu menyelinap melewati filter email, Star Blizzard telah mulai menggunakan dokumen umpan PDF yang dilindungi kata sandi, atau tautan ke platform berbagi file berbasis cloud dengan PDF yang dilindungi di dalamnya. Kata sandi untuk dokumen-dokumen ini biasanya dikemas dalam email phishing yang sama, atau email yang dikirim segera setelah email pertama.

Sebagai hambatan kecil untuk potensi analisis manusia, Star Blizzard telah mulai menggunakan penyedia layanan nama domain (DNS) sebagai proksi terbalik — mengaburkan alamat IP yang terkait dengan server pribadi virtual (VPS) – dan cuplikan JavaScript sisi server yang dimaksudkan untuk mencegah otomatisasi pemindaian infrastrukturnya.

Ia juga menggunakan algoritma pembuatan domain yang lebih acak (DGA), untuk membuat pendeteksian pola di domainnya menjadi lebih rumit. Namun seperti yang ditunjukkan oleh Microsoft, domain Star Blizzard masih memiliki karakteristik tertentu yang sama: domain tersebut biasanya terdaftar di Namecheap, dalam grup yang sering menggunakan konvensi penamaan serupa, dan memiliki sertifikasi TLS dari Let's Encrypt.

Selain trik kecilnya, Star Blizzard telah mulai memanfaatkan layanan pemasaran email Mailerlite dan HubSpot untuk mengarahkan petualangan phishingnya.

Menggunakan Pemasaran Email untuk Phishing

Seperti yang dijelaskan Microsoft dalam blognya, “aktor menggunakan layanan ini untuk membuat kampanye email, yang memberi mereka subdomain khusus pada layanan yang kemudian digunakan untuk membuat URL. URL ini bertindak sebagai titik masuk ke rantai pengalihan yang berakhir di kendali aktor Infrastruktur server Evilginx. Layanan ini juga dapat memberi pengguna alamat email khusus untuk setiap kampanye email yang dikonfigurasi, yang digunakan oleh pelaku ancaman sebagai alamat 'Dari' dalam kampanye mereka.”

Kadang-kadang para peretas mempunyai taktik yang bersilangan, dengan menyematkan URL pemasaran email yang mereka gunakan di dalam PDF mereka yang dilindungi kata sandi untuk mengalihkan ke server jahat mereka. Kombo ini menghilangkan kebutuhan untuk menyertakan infrastruktur domainnya sendiri di email.

“Penggunaan platform berbasis cloud seperti HubSpot, MailerLite, dan server pribadi virtual (VPS) yang dipadukan dengan skrip sisi server untuk mencegah pemindaian otomatis adalah pendekatan yang menarik,” jelas analis intelijen ancaman Recorded Future Insikt Group, Zoey Selman, “karena hal ini memungkinkan BlueCharlie menyetel parameter izin untuk mengarahkan korban ke infrastruktur pelaku ancaman hanya jika persyaratannya terpenuhi.”

Baru-baru ini, para peneliti mengamati kelompok tersebut menggunakan layanan pemasaran email untuk menargetkan lembaga think tank dan organisasi penelitian, dengan menggunakan daya tarik yang sama, dengan tujuan mendapatkan kredensial untuk portal manajemen hibah AS.

Kelompok ini juga telah melihat beberapa keberhasilan baru-baru ini, kata Selman, “terutama terhadap pejabat pemerintah Inggris dalam operasi pengambilan kredensial dan peretasan yang digunakan dalam operasi pengaruh, seperti terhadap mantan kepala MI6 Inggris Richard Dearlove, orang Inggris Anggota Parlemen Stewart McDonald, dan diketahui setidaknya berusaha menargetkan karyawan beberapa laboratorium nuklir nasional paling terkemuka di AS.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked