متعدد نمائشوں اور رکاوٹوں کے بعد، کریملن کے زیر اہتمام ایڈوانس پرسسٹنٹ تھریٹ (APT) اداکار نے ایک بار پھر اپنی چوری کی تکنیک کو اپ گریڈ کیا ہے۔ تاہم، مائیکروسافٹ کی طرف سے اس اقدام کو اس ہفتے بھی بے نقاب کیا گیا تھا.
“Star Blizzard” (aka Seaborgium, BlueCharlie, Callisto Group, and Coldriver) has been carrying out email credential theft in service of cyberespionage and cyber influence campaigns since at least 2017. Historically, it has focused its aim on public and private organizations in NATO member countries, typically in fields related to politics, defense, and related sectors — NGOs, think tanks, journalists, academic institutions, intergovernmental organizations, and so on. In recent years, it has especially targeted individuals and organizations providing support for Ukraine.
لیکن ہر کامیاب خلاف ورزی کے لیے، Star Blizzard اپنی OpSec ناکامیوں کے لیے بھی جانا جاتا ہے۔ مائیکروسافٹ اگست 2022 میں گروپ میں خلل ڈالا۔ اور، اس کے بعد کے وقت میں، ریکارڈڈ فیوچر نے اس کا سراغ لگایا ہے کیونکہ یہ اتنی باریک بینی سے نہیں ہے۔ نئے انفراسٹرکچر کی طرف منتقل کرنے کی کوشش کی۔. اور جمعرات کو، مائیکروسافٹ پر رپورٹ کرنے کے لئے واپس آیا چوری پر اس کی تازہ ترین کوششیں۔. ان کوششوں میں پانچ بنیادی نئی چالیں شامل ہیں، خاص طور پر ای میل مارکیٹنگ پلیٹ فارمز کا ہتھیار بنانا۔
مائیکرو سافٹ نے اس مضمون پر تبصرہ کرنے سے انکار کردیا۔
Star Blizzard’s Latest TTPs
ماضی کے ای میل فلٹرز کو چھپانے میں مدد کرنے کے لیے، Star Blizzard نے پاس ورڈ سے محفوظ پی ڈی ایف لالچ دستاویزات، یا کلاؤڈ بیسڈ فائل شیئرنگ پلیٹ فارمز کے لنکس کا استعمال شروع کر دیا ہے جس میں محفوظ پی ڈی ایف موجود ہیں۔ ان دستاویزات کے پاس ورڈز عام طور پر اسی فشنگ ای میل میں پیک کیے جاتے ہیں، یا پہلی کے فوراً بعد بھیجی گئی ای میل۔
ممکنہ انسانی تجزیہ کے لیے چھوٹی رکاوٹوں کے طور پر، Star Blizzard نے ایک ڈومین نیم سروس (DNS) فراہم کنندہ کو ریورس پراکسی کے طور پر استعمال کرنا شروع کر دیا ہے - اپنے ورچوئل پرائیویٹ سرورز (VPSs) سے وابستہ IP پتوں کو دھندلا کر رہا ہے - اور سرور سائیڈ JavaScript کے ٹکڑوں کو خود کار طریقے سے روکنا ہے۔ اس کے بنیادی ڈھانچے کی سکیننگ.
It’s also using a more randomized domain generation algorithm (DGA), to make detecting patterns in its domains more cumbersome. As Microsoft points out however, Star Blizzard domains still share certain defining characteristics: they’re typically registered with Namecheap, in groups that often use similar naming conventions, and they sport TLS certifications from Let’s Encrypt.
اور اپنی چھوٹی چالوں کے علاوہ، Star Blizzard نے اپنی فشنگ فرار کی ہدایت کے لیے ای میل مارکیٹنگ کی خدمات Mailerlite اور HubSpot کو استعمال کرنا شروع کر دیا ہے۔
فشنگ کے لیے ای میل مارکیٹنگ کا استعمال
As Microsoft explained in its blog, “the actor uses these services to create an email campaign, which provides them with a dedicated subdomain on the service that is then used to create URLs. These URLs act as the entry point to a redirection chain ending at actor-controlled Evilginx سرور انفراسٹرکچر. The services can also provide the user with a dedicated email address per configured email campaign, which the threat actor has been seen to use as the ‘From’ address in their campaigns.”
بعض اوقات ہیکرز نے اپنے پاس ورڈ سے محفوظ پی ڈی ایف کے باڈی میں ان ای میل مارکیٹنگ یو آر ایلز کو سرایت کرتے ہوئے حکمت عملی کو عبور کر لیا ہے جنہیں وہ اپنے بدنیتی پر مبنی سرورز کو ری ڈائریکٹ کرنے کے لیے استعمال کرتے ہیں۔ یہ طومار ای میلز میں اپنے ڈومین کے بنیادی ڈھانچے کو شامل کرنے کی ضرورت کو دور کرتا ہے۔
“Their use of cloud-based platforms like HubSpot, MailerLite, and virtual private servers (VPS) partnered with server-side scripts to prevent automated scanning is an interesting approach,” explains Recorded Future Insikt Group threat intelligence analyst Zoey Selman, “as it enables BlueCharlie to set allow parameters to redirect the victim to threat actor infrastructure only when the requirements are met.”
حال ہی میں، محققین نے ایک مشترکہ لالچ کا استعمال کرتے ہوئے، امریکی گرانٹس مینجمنٹ پورٹل کے لیے اسناد حاصل کرنے کے مقصد کے ساتھ، تھنک ٹینکس اور تحقیقی تنظیموں کو نشانہ بنانے کے لیے ای میل مارکیٹنگ کی خدمات کا استعمال کرتے ہوئے گروپ کا مشاہدہ کیا۔
The group has seen some other recent success, as well, Selman notes, “most notably against UK government officials in credential-harvesting and hack-and-leak operations in use in influence operations, such as against former UK MI6 chief Richard Dearlove, British Parliamentarian Stewart McDonald, and is known to have at least attempted to target employees of some of the US’ most high profile national nuclear laboratories.”
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked
- : ہے
- : ہے
- : نہیں
- 2017
- a
- تعلیمی
- ایکٹ
- پتہ
- پتے
- اعلی درجے کی
- اعلی درجے کا مستقل خطرہ
- کے بعد
- پھر
- کے خلاف
- امداد
- مقصد
- ارف
- یلگورتم
- کی اجازت
- بھی
- an
- تجزیہ
- تجزیہ کار
- اور
- نقطہ نظر
- اے پی ٹی
- کیا
- مضمون
- AS
- منسلک
- At
- کوشش کی
- اگست
- آٹومیٹڈ
- BE
- رہا
- شروع
- اس کے علاوہ
- برفانی طوفان
- بلاگ
- جسم
- خلاف ورزی
- برطانوی
- by
- مہم
- مہمات
- کر سکتے ہیں
- لے جانے والا۔
- کچھ
- سرٹیفکیٹ
- چین
- خصوصیات
- چیف
- کس طرح
- تبصرہ
- کامن
- تشکیل شدہ
- پر مشتمل ہے
- کنونشنوں
- ممالک
- تخلیق
- کریڈینٹل
- اسناد
- متقاطع
- بوجھل
- سائبر
- سائبر جاسوسی
- وقف
- دفاع
- وضاحت
- ہدایت
- رکاوٹیں
- DNS
- دستاویزات
- ڈومین
- ڈومین نام
- ڈومینز
- کوششوں
- ای میل
- ای میل مارکیٹنگ
- ای میل
- سرایت کرنا
- ملازمین
- کے قابل بناتا ہے
- ختم ہونے
- اندراج
- خاص طور پر
- Ether (ETH)
- ہر کوئی
- وضاحت کی
- بیان کرتا ہے
- ظاہر
- ناکامیوں
- قطعات
- فائل
- فلٹر
- پہلا
- پانچ
- توجہ مرکوز
- کے لئے
- سابق
- سے
- مستقبل
- نسل
- مقصد
- حکومت
- حکومتی عہدیداروں
- گرانٹ
- گروپ
- گروپ کا
- ہیکروں
- ہے
- ہائی
- تاریخی
- تاہم
- HTTPS
- HubSpot
- انسانی
- in
- شامل
- افراد
- اثر و رسوخ
- انفراسٹرکچر
- اداروں
- انٹیلی جنس
- ارادہ
- دلچسپ
- IP
- آئی پی پتے
- IT
- میں
- جاوا سکرپٹ
- صحافیوں
- فوٹو
- جانا جاتا ہے
- لیبارٹریز
- تازہ ترین
- کم سے کم
- دو
- کی طرح
- لنکس
- بنا
- انتظام
- مارکیٹنگ
- ایم سی ڈونلڈ
- رکن
- کے ساتھ
- مائیکروسافٹ
- زیادہ
- سب سے زیادہ
- منتقل
- ایک سے زیادہ
- نام
- نام کی خدمت
- Namecheap
- نام
- قومی
- ضرورت ہے
- نئی
- نئی چالیں
- این جی اوز
- خاص طور پر
- نوٹس
- جوہری
- مشاہدہ
- حاصل کرنا
- of
- حکام
- اکثر
- on
- ایک بار
- صرف
- آپریشنز
- or
- تنظیمیں
- دیگر
- باہر
- خود
- پیک۔
- پیرامیٹرز
- پارلیمنٹیرین
- شراکت دار
- پاس ورڈز
- گزشتہ
- پیٹرن
- فی
- فشنگ
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹ
- پوائنٹس
- سیاست
- پورٹل
- ممکنہ
- کی روک تھام
- پرائمری
- نجی
- پروفائل
- محفوظ
- فراہم
- فراہم کنندہ
- فراہم کرتا ہے
- فراہم کرنے
- پراکسی
- عوامی
- بے ترتیب
- RE
- حال ہی میں
- درج
- ری ڈائریکٹ
- رجسٹرڈ
- متعلقہ
- ہٹاتا ہے
- رپورٹ
- ضروریات
- تحقیق
- محققین
- ریورس
- رچرڈ
- روڈ بلاکس
- روس
- s
- اسی
- سکیننگ
- سکرپٹ
- سیکٹر
- دیکھا
- بھیجا
- سرور
- سرورز
- سروس
- سروسز
- مقرر
- سیکنڈ اور
- اشتراک
- منتقل
- جلد ہی
- اسی طرح
- بعد
- چھوٹے
- چھوٹے
- So
- کچھ
- کھیل
- سٹار
- شروع
- چپکے
- اسٹیورٹ
- ابھی تک
- ذیلی ڈومین
- کامیابی
- کامیاب
- اس طرح
- حمایت
- حکمت عملی
- ٹینکس
- ہدف
- ھدف بنائے گئے
- تکنیک
- کہ
- ۔
- چوری
- ان
- ان
- تو
- یہ
- وہ
- لگتا ہے کہ
- اس
- اس ہفتے
- خطرہ
- خطرہ انٹیلی جنس
- جمعرات
- وقت
- TLS
- کرنے کے لئے
- عام طور پر
- ہمیں
- Uk
- برطانیہ کی حکومت
- یوکرائن
- اعلی درجے کی
- اپ گریڈ
- us
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- استعمال
- کا استعمال کرتے ہوئے
- استعمال
- وکٹم
- مجازی
- تھا
- ہفتے
- اچھا ہے
- جب
- جس
- ساتھ
- کے اندر
- سال
- زیفیرنیٹ