Po večkratnih izpostavljenostih in motnjah je akter napredne trajne grožnje (APT), ki ga sponzorira Kremelj, ponovno nadgradil svoje tehnike izogibanja. Vendar pa je to potezo ta teden razkril tudi Microsoft.
»Star Blizzard« (alias Seaborgium, BlueCharlie, Callisto Group in Coldriver) izvaja krajo e-poštnih poverilnic v službi kibernetskega vohunjenja in kampanj kibernetskega vpliva že od leta 2017. V preteklosti se je osredotočal na javne in zasebne organizacije v Natu. držav članic, običajno na področjih, povezanih s politiko, obrambo in sorodnimi sektorji – nevladne organizacije, možganski trusti, novinarji, akademske ustanove, medvladne organizacije itd. V zadnjih letih je bila usmerjena predvsem na posameznike in organizacije, ki podpirajo Ukrajino.
Toda za vsako uspešno kršitev je Star Blizzard znan tudi po napakah OpSec. Microsoft avgusta 2022 prekinil skupino in v času od takrat je Recorded Future temu sledil, saj ni tako subtilno poskušali preusmeriti na novo infrastrukturo. In v četrtek se je Microsoft vrnil, da bi poročal o tem svoja zadnja prizadevanja pri izogibanju. Ta prizadevanja vključujejo pet glavnih novih trikov, predvsem oborožitev platform za e-poštno trženje.
Microsoft je zavrnil komentar za ta članek.
Najnovejši TTP-ji Star Blizzard
Za pomoč pri skrivanju mimo e-poštnih filtrov je Star Blizzard začel uporabljati vabljive dokumente PDF, zaščitene z geslom, ali povezave do platform za skupno rabo datotek v oblaku z zaščitenimi PDF-ji, ki jih vsebujejo. Gesla za te dokumente so običajno zapakirana v isto lažno e-poštno sporočilo ali e-poštno sporočilo, poslano kmalu za prvim.
Kot majhne ovire za morebitno človeško analizo je Star Blizzard začel uporabljati ponudnika storitve domenskih imen (DNS) kot povratni proxy – zakriva naslove IP, povezane z njegovimi navideznimi zasebnimi strežniki (VPS) – in izrezke JavaScript na strani strežnika, namenjene preprečevanju avtomatiziranih skeniranje svoje infrastrukture.
Uporablja tudi bolj naključni algoritem za generiranje domen (DGA), da postane zaznavanje vzorcev v njegovih domenah bolj okorno. Vendar pa, kot poudarja Microsoft, imajo domene Star Blizzard še vedno določene značilnosti: običajno so registrirane pri Namecheap v skupinah, ki pogosto uporabljajo podobne konvencije o poimenovanju, in imajo certifikate TLS podjetja Let's Encrypt.
In poleg svojih manjših trikov je Star Blizzard začel uporabljati storitvi e-poštnega trženja Mailerlite in HubSpot za usmerjanje svojih eskapad lažnega predstavljanja.
Uporaba e-poštnega trženja za lažno predstavljanje
Kot je Microsoft pojasnil v svojem blogu, »igralec uporablja te storitve za ustvarjanje e-poštne kampanje, ki jim zagotovi namensko poddomeno v storitvi, ki se nato uporabi za ustvarjanje URL-jev. Ti URL-ji delujejo kot vstopna točka v preusmeritveno verigo, ki se konča pri igralcu Strežniška infrastruktura Evilginx. Storitve lahko uporabniku zagotovijo tudi namenski e-poštni naslov za vsako konfigurirano e-poštno kampanjo, za katerega je bilo ugotovljeno, da akter grožnje uporablja kot naslov 'Od' v svojih kampanjah.«
Včasih so hekerji prekrižali taktiko in v telo svojih PDF-jev, zaščitenih z geslom, vdelali URL-je za e-poštno trženje, ki jih uporabljajo za preusmeritev na svoje zlonamerne strežnike. Ta kombinacija odpravlja potrebo po vključitvi lastne domenske infrastrukture v e-poštna sporočila.
»Njihova uporaba platform v oblaku, kot so HubSpot, MailerLite in navidezni zasebni strežniki (VPS) v sodelovanju s skripti na strani strežnika za preprečevanje avtomatiziranega skeniranja, je zanimiv pristop,« pojasnjuje Zoey Selman, analitičarka za obveščanje o grožnjah skupine Recorded Future Insikt Group, »saj BlueCharlieju omogoča, da nastavi dovoljene parametre za preusmeritev žrtve na infrastrukturo akterja grožnje le, ko so izpolnjene zahteve.«
Pred kratkim so raziskovalci opazovali skupino, ki je uporabljala storitve e-poštnega trženja, da bi ciljala na možganske tanke in raziskovalne organizacije, pri čemer je uporabljala skupno vabo, s ciljem pridobiti poverilnice za ameriški portal za upravljanje nepovratnih sredstev.
Skupina je v zadnjem času dosegla tudi nekaj drugih uspehov, ugotavlja Selman, »predvsem proti britanskim vladnim uradnikom v operacijah zbiranja poverilnic in vdiranja in uhajanja podatkov, ki se uporabljajo v operacijah vplivanja, na primer proti nekdanjemu vodji britanske MI6 Richardu Dearlovu, Britancu Parlamentarca Stewarta McDonalda in znano je, da je vsaj poskušal napadati zaposlene v nekaterih najbolj odmevnih nacionalnih jedrskih laboratorijih v ZDA.«
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked
- :ima
- : je
- :ne
- 2017
- a
- akademsko
- Zakon
- Naslov
- naslovi
- napredno
- napredna vztrajna grožnja
- po
- spet
- proti
- Pomoč
- Cilj
- aka
- algoritem
- omogočajo
- Prav tako
- an
- Analiza
- Analitik
- in
- pristop
- APT
- SE
- članek
- AS
- povezan
- At
- poskus
- Avgust
- Avtomatizirano
- BE
- bilo
- začel
- poleg tega
- Blizzard
- Blog
- telo
- kršitev
- Britanski
- by
- Akcija
- Kampanje
- CAN
- knjigovodska
- nekatere
- certifikati
- verige
- lastnosti
- šef
- kako
- komentar
- Skupno
- konfigurirano
- vseboval
- Konvencij
- države
- ustvarjajo
- POVERILNICA
- Mandatno
- Crossed
- okoren
- cyber
- Kiberespionage
- namenjen
- Defense
- definiranje
- režija
- motnje
- dns
- Dokumenti
- domena
- Ime domene
- domen
- prizadevanja
- E-naslov
- email marketing
- e-pošta
- vdelava
- Zaposleni
- omogoča
- konec
- Vpis
- zlasti
- Eter (ETH)
- Tudi vsak
- razložiti
- Pojasni
- izpostavljena
- napake
- Področja
- file
- Filtri
- prva
- pet
- osredotočena
- za
- Nekdanji
- iz
- Prihodnost
- generacija
- Cilj
- vlada
- Državni uradniki
- nepovratna sredstva
- skupina
- Skupine
- hekerji
- Imajo
- visoka
- Zgodovinsko
- Vendar
- HTTPS
- HubSpot
- človeškega
- in
- vključujejo
- posamezniki
- vplivajo
- Infrastruktura
- Institucije
- Intelligence
- namenjen
- Zanimivo
- IP
- IP naslovi
- IT
- ITS
- JavaScript
- Novinarji
- jpg
- znano
- laboratoriji
- Zadnji
- vsaj
- Naj
- kot
- Povezave
- Znamka
- upravljanje
- Trženje
- MCDONALD
- član
- pol
- Microsoft
- več
- Najbolj
- premikanje
- več
- Ime
- Imenska storitev
- Namecheap
- poimenovanje
- nacionalni
- Nimate
- Novo
- novi triki
- Nevladne organizacije
- predvsem
- Opombe
- jedrske
- opazovana
- pridobitev
- of
- uradniki
- pogosto
- on
- enkrat
- samo
- operacije
- or
- organizacije
- Ostalo
- ven
- lastne
- pakirani
- parametri
- Parlamentarka
- partnerja
- gesla
- preteklosti
- vzorci
- za
- Ribarjenje
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Točka
- točke
- politika
- Portal
- potencial
- preprečiti
- primarni
- zasebna
- profil
- zaščiteni
- zagotavljajo
- Ponudnik
- zagotavlja
- zagotavljanje
- proxy
- javnega
- Naključno
- RE
- nedavno
- Zabeležena
- preusmeriti
- registriranih
- povezane
- odstrani
- poročilo
- Zahteve
- Raziskave
- raziskovalci
- nazaj
- Richard
- zapore cest
- Rusija
- s
- Enako
- skeniranje
- skripte
- Sektorji
- videl
- poslan
- strežnik
- strežniki
- Storitev
- Storitve
- nastavite
- Delite s prijatelji, znanci, družino in partnerji :-)
- delitev
- premik
- Kmalu
- Podoben
- saj
- majhna
- manj
- So
- nekaj
- Šport
- zvezda
- začel
- Stealth
- Stewart
- Še vedno
- poddomene
- uspeh
- uspešno
- taka
- podpora
- taktike
- Rezervoarji
- ciljna
- ciljno
- tehnike
- da
- O
- Kraja
- njihove
- Njih
- POTEM
- te
- jih
- mislim
- ta
- ta teden
- Grožnja
- obveščevalna nevarnost
- četrtek
- čas
- TLS
- do
- tipično
- nas
- Uk
- Vlada Združenega kraljestva
- Ukrajina
- nadgrajen
- Nadgradnje
- us
- uporaba
- Rabljeni
- uporabnik
- uporablja
- uporabo
- uporabiti
- Žrtva
- Virtual
- je
- teden
- Dobro
- kdaj
- ki
- z
- v
- let
- zefirnet
