Rosyjski APT „Star Blizzard” ulepsza swoją zdolność do ukrywania się i ponownie zostaje zdemaskowany

Po wielokrotnych ujawnieniach i zakłóceniach sponsorowany przez Kreml podmiot zajmujący się zaawansowanym trwałym zagrożeniem (APT) po raz kolejny ulepszył swoje techniki unikania. Jednak to posunięcie zostało również ujawnione w tym tygodniu przez Microsoft.

„Star Blizzard” (znany również jako Seaborgium, BlueCharlie, Callisto Group i Coldriver) zajmuje się kradzieżą danych uwierzytelniających pocztę elektroniczną w ramach kampanii cyberszpiegowskich i wywierania wpływów w sieci co najmniej od 2017 r. Historycznie rzecz biorąc, skupiała swoje cele na organizacjach publicznych i prywatnych w NATO krajów członkowskich, zazwyczaj w dziedzinach związanych z polityką, obronnością i sektorami pokrewnymi – organizacje pozarządowe, zespoły doradcze, dziennikarze, instytucje akademickie, organizacje międzyrządowe i tak dalej. W ostatnich latach jego atak był szczególnie ukierunkowany na osoby i organizacje wspierające Ukrainę.

Jednak z każdego udanego naruszenia wynika, że ​​Star Blizzard jest również znany z niepowodzeń OpSec. Microsoftu przerwał działalność grupy w sierpniu 2022 r i od tego czasu Recorded Future śledziło to, ponieważ nie było to tak subtelne próbował przenieść się do nowej infrastruktury. W czwartek Microsoft powrócił, aby zdać raport swoje ostatnie próby uchylania się od tego. Wysiłki te obejmują pięć głównych nowych sztuczek, w szczególności uzbrojenie platform e-mail marketingu.

Firma Microsoft odmówiła komentarza do tego artykułu.

Najnowsze TTP firmy Star Blizzard

Aby pomóc w przekradaniu się przez filtry poczty e-mail, Star Blizzard zaczął używać chronionych hasłem dokumentów w formacie PDF lub łączy do opartych na chmurze platform udostępniania plików zawierających chronione pliki PDF. Hasła do tych dokumentów są zazwyczaj dostarczane w tej samej wiadomości e-mail phishingowej lub w wiadomości e-mail wysyłanej wkrótce po pierwszej.

Aby zapobiec potencjalnej ludzkiej analizie, firma Star Blizzard zaczęła wykorzystywać dostawcę usług nazw domen (DNS) jako odwrotne proxy – zasłaniając adresy IP powiązane z jego wirtualnymi serwerami prywatnymi (VPS) – oraz fragmenty kodu JavaScript po stronie serwera, które mają zapobiegać automatycznym skanowanie swojej infrastruktury.

Wykorzystuje także bardziej losowy algorytm generowania domen (DGA), aby wykrywanie wzorców w swoich domenach było bardziej kłopotliwe. Jak jednak wskazuje Microsoft, domeny Star Blizzard nadal mają pewne wspólne cechy charakterystyczne: są zazwyczaj zarejestrowane w Namecheap, w grupach, które często stosują podobne konwencje nazewnictwa, i posiadają certyfikaty TLS od Let's Encrypt.

Oprócz mniejszych sztuczek, Star Blizzard zaczął wykorzystywać usługi marketingu e-mailowego Mailerlite i HubSpot do kierowania swoimi eskapadami phishingowymi.

Wykorzystanie marketingu e-mailowego do phishingu

Jak Microsoft wyjaśnił na swoim blogu, „aktor wykorzystuje te usługi do stworzenia kampanii e-mailowej, która udostępnia mu w serwisie dedykowaną subdomenę, która następnie służy do tworzenia adresów URL. Te adresy URL działają jako punkt wejścia do łańcucha przekierowań kończącego się na kontrolowanym przez aktora Infrastruktura serwerowa Evilginx. Usługi mogą również zapewnić użytkownikowi dedykowany adres e-mail dla każdej skonfigurowanej kampanii e-mailowej, którego atakujący używa jako adresu „Od” w swoich kampaniach”.

Czasami hakerzy zmieniają taktykę, osadzając w treści swoich chronionych hasłem plików PDF adresy URL służące do marketingu e-mailowego, których używają do przekierowywania na swoje złośliwe serwery. To połączenie eliminuje potrzebę dołączania własnej infrastruktury domenowej do wiadomości e-mail.

„Wykorzystywanie przez nich platform opartych na chmurze, takich jak HubSpot, MailerLite i wirtualnych serwerów prywatnych (VPS) w połączeniu ze skryptami po stronie serwera, aby zapobiec automatycznemu skanowaniu, jest interesującym podejściem” – wyjaśnia Zoey Selman, analityk ds. analizy zagrożeń Recorded Future Insikt Group, „ponieważ umożliwia BlueCharlie ustawienie parametrów zezwalających na przekierowanie ofiary do infrastruktury aktora zagrażającego tylko wtedy, gdy spełnione są wymagania.

Niedawno badacze zaobserwowali, że grupa ta korzystała z usług marketingu e-mailowego, aby dotrzeć do ośrodków doradczo-rozwojowych i organizacji badawczych, stosując wspólną przynętę w celu uzyskania danych uwierzytelniających do portalu zarządzania dotacjami w USA.

Selman zauważa, że ​​grupa odniosła także w ostatnim czasie inne sukcesy, „w szczególności przeciwko urzędnikom rządu Wielkiej Brytanii w operacjach gromadzenia danych uwierzytelniających oraz operacjach hackowania i wycieków wykorzystywanych w operacjach wywierania wpływu, na przykład przeciwko byłemu szefowi brytyjskiej MI6 Richardowi Dearlove’owi, Brytyjczykom Parlamentarzysta Stewart McDonald i wiadomo, że przynajmniej próbował wziąć na cel pracowników niektórych z najbardziej znanych krajowych laboratoriów nuklearnych w USA”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked