Dopo molteplici esposizioni e interruzioni, un attore di minacce avanzate persistenti (APT) sponsorizzato dal Cremlino ha nuovamente aggiornato le sue tecniche di evasione. Tuttavia, questa mossa è stata esposta anche questa settimana da Microsoft.
“Star Blizzard” (aka Seaborgium, BlueCharlie, Callisto Group e Coldriver) ha effettuato furti di credenziali e-mail al servizio di campagne di cyberspionaggio e influenza informatica almeno dal 2017. Storicamente, ha concentrato il suo obiettivo su organizzazioni pubbliche e private nella NATO paesi membri, tipicamente in campi legati alla politica, alla difesa e settori correlati: ONG, think tank, giornalisti, istituzioni accademiche, organizzazioni intergovernative e così via. Negli ultimi anni ha preso di mira soprattutto individui e organizzazioni che forniscono sostegno all’Ucraina.
Ma per ogni violazione riuscita, Star Blizzard è nota anche per i suoi fallimenti OpSec. Microsoft ha interrotto il gruppo nell'agosto 2022 e, da allora, Recorded Future lo ha seguito in modo non così sottile ha tentato di passare a nuove infrastrutture. E giovedì Microsoft è tornata a riferire i suoi ultimi tentativi di evasione. Questi sforzi includono cinque nuovi trucchi principali, in particolare l’utilizzo come arma delle piattaforme di email marketing.
Microsoft ha rifiutato di fornire commenti per questo articolo.
Gli ultimi TTP di Star Blizzard
Per aiutare a superare i filtri e-mail, Star Blizzard ha iniziato a utilizzare documenti esca PDF protetti da password o collegamenti a piattaforme di condivisione file basate su cloud con i PDF protetti contenuti all'interno. Le password per questi documenti vengono generalmente incluse nella stessa e-mail di phishing o in un'e-mail inviata poco dopo la prima.
Come piccoli ostacoli per una potenziale analisi umana, Star Blizzard ha iniziato a utilizzare un provider di servizi di nomi di dominio (DNS) come proxy inverso - oscurando gli indirizzi IP associati ai suoi server privati virtuali (VPS) - e snippet JavaScript lato server intesi a impedire scansione della propria infrastruttura.
Utilizza anche un algoritmo di generazione di domini (DGA) più randomizzato, per rendere più complicato il rilevamento di modelli nei suoi domini. Come sottolinea Microsoft, tuttavia, i domini Star Blizzard condividono ancora alcune caratteristiche distintive: sono generalmente registrati con Namecheap, in gruppi che spesso utilizzano convenzioni di denominazione simili e sfoggiano certificazioni TLS di Let's Encrypt.
E oltre ai suoi trucchi più piccoli, Star Blizzard ha iniziato a utilizzare i servizi di email marketing Mailerlite e HubSpot per dirigere le sue scappatelle di phishing.
Utilizzo dell'email marketing per il phishing
Come ha spiegato Microsoft nel suo blog, “l'attore utilizza questi servizi per creare una campagna e-mail, che fornisce loro un sottodominio dedicato sul servizio che viene poi utilizzato per creare URL. Questi URL fungono da punto di ingresso per una catena di reindirizzamento che termina con quella controllata dall'attore Infrastruttura del server Evilginx. I servizi possono anche fornire all'utente un indirizzo e-mail dedicato per ogni campagna e-mail configurata, che l'autore della minaccia utilizza come indirizzo "Da" nelle proprie campagne."
A volte gli hacker hanno adottato tattiche incrociate, incorporando nel corpo dei loro PDF protetti da password gli URL di email marketing che utilizzano per reindirizzare ai loro server dannosi. Questa combinazione elimina la necessità di includere la propria infrastruttura di dominio nelle e-mail.
"Il loro utilizzo di piattaforme basate su cloud come HubSpot, MailerLite e server privati virtuali (VPS) in collaborazione con script lato server per impedire la scansione automatizzata è un approccio interessante", spiega Zoey Selman, analista di intelligence sulle minacce di Recorded Future Insikt Group, "poiché consente a BlueCharlie di impostare parametri di autorizzazione per reindirizzare la vittima all'infrastruttura dell'autore della minaccia solo quando i requisiti sono soddisfatti."
Recentemente, i ricercatori hanno osservato il gruppo utilizzare servizi di email marketing per prendere di mira think tank e organizzazioni di ricerca, utilizzando un'esca comune, con l'obiettivo di ottenere credenziali per un portale di gestione delle sovvenzioni negli Stati Uniti.
Il gruppo ha riscontrato anche altri successi recenti, osserva Selman, "in particolare contro funzionari governativi del Regno Unito in operazioni di raccolta di credenziali e hack-and-leak utilizzate in operazioni di influenza, come contro l'ex capo dell'MI6 britannico Richard Dearlove, britannico Il parlamentare Stewart McDonald, ed è noto per aver almeno tentato di prendere di mira i dipendenti di alcuni dei laboratori nucleari nazionali di più alto profilo degli Stati Uniti”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked
- :ha
- :È
- :non
- 2017
- a
- accademico
- Legge
- indirizzo
- indirizzi
- Avanzate
- minaccia persistente avanzata
- Dopo shavasana, sedersi in silenzio; saluti;
- ancora
- contro
- aiuto
- puntare
- aka
- algoritmo
- consentire
- anche
- an
- .
- analista
- ed
- approccio
- APT
- SONO
- articolo
- AS
- associato
- At
- tentato
- AGOSTO
- Automatizzata
- BE
- stato
- iniziato
- oltre a
- bufera di neve
- Blog
- stile di vita
- violazione
- britannico
- by
- Campagna
- Responsabile Campagne
- Materiale
- trasporto
- certo
- certificazioni
- catena
- caratteristiche
- capo
- Venire
- commento
- Uncommon
- configurato
- contenute
- convenzioni
- paesi
- creare
- CREDENZIALI
- Credenziali
- Crossed
- ingombrante
- Cyber
- Cyber-spionaggio
- dedicato
- Difesa
- definizione
- orientamento
- interruzioni
- dns
- documenti
- dominio
- Domain Name
- domini
- sforzi
- marketing via email
- incorporamento
- dipendenti
- Abilita
- finale
- iscrizione
- particolarmente
- Etere (ETH)
- Ogni
- ha spiegato
- Spiega
- esposto
- fallimenti
- campi
- Compila il
- filtri
- Nome
- cinque
- concentrato
- Nel
- Ex
- da
- futuro
- ELETTRICA
- scopo
- Enti Pubblici
- Funzionari governativi
- borse di studio
- Gruppo
- Gruppo
- hacker
- Avere
- Alta
- storicamente
- Tuttavia
- HTTPS
- HubSpot
- umano
- in
- includere
- individui
- influenza
- Infrastruttura
- istituzioni
- Intelligence
- destinato
- interessante
- IP
- Gli indirizzi IP
- IT
- SUO
- JavaScript
- Giornalisti
- jpg
- conosciuto
- laboratori
- con i più recenti
- meno
- lasciare
- piace
- Collegamento
- make
- gestione
- Marketing
- MCDONALD
- membro
- di cartone
- Microsoft
- Scopri di più
- maggior parte
- cambiano
- multiplo
- Nome
- Nome Servizio
- Namecheap
- di denominazione
- il
- Bisogno
- New
- nuovi trucchi
- ONG
- segnatamente
- Note
- nucleare
- osservato
- ottenendo
- of
- funzionari
- di frequente
- on
- una volta
- esclusivamente
- Operazioni
- or
- organizzazioni
- Altro
- su
- proprio
- confezionati
- parametri
- Parlamentare
- collaborato
- Le password
- passato
- modelli
- per
- phishing
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- punti
- politica
- Portale
- potenziale
- prevenire
- primario
- un bagno
- Profilo
- protetta
- fornire
- fornitore
- fornisce
- fornitura
- delega
- la percezione
- Randomizzato
- RE
- recente
- registrato
- reindirizzare
- registrato
- relazionato
- rimuove
- rapporto
- Requisiti
- riparazioni
- ricercatori
- invertire
- Richard
- blocchi stradali
- Russia
- s
- stesso
- scansione
- script
- Settori
- visto
- inviato
- server
- server
- servizio
- Servizi
- set
- Condividi
- compartecipazione
- spostamento
- In breve
- simile
- da
- piccole
- inferiore
- So
- alcuni
- Gli Sport
- Stella
- iniziato
- Stealth
- Stewart
- Ancora
- sottodominio
- il successo
- di successo
- tale
- supporto
- tattica
- serbatoi
- Target
- mirata
- tecniche
- che
- I
- furto
- loro
- Li
- poi
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- think
- questo
- questa settimana
- minaccia
- intelligenza delle minacce
- giovedì
- tempo
- TLS
- a
- tipicamente
- noi
- Uk
- Governo britannico
- Ucraina
- aggiornato
- Upgrades
- us
- uso
- utilizzato
- Utente
- usa
- utilizzando
- utilizzare
- Vittima
- virtuale
- Prima
- settimana
- WELL
- quando
- quale
- con
- entro
- anni
- zefiro