Tehnologija

Ruski Star Blizzard okreće se WhatsApp-u u kampanji krađe identiteta

anketa.plus
Izvor: anketa.plus
Ruski Star Blizzard okreće se WhatsApp-u u kampanji krađe identiteta

Ruski cyber špijunski operacija poznat kao zvijezdani blokad promijenio je taktiku nakon operacije zakidanja Microsofta i američkih vlasti, okrećući se široko korištenim platformom za razmjenu poruka Whatsapp da bi se pokušali pohađati svoje ciljeve

Od

  • Alex Scroxton,Sigurnosni urednik

Objavljeno: 16. januara 2025. 21:03

U jeku značajne akcije protiv njegove infrastrukture, napredna uporna prijetnja (APT) glumačka zvjezdana blizzarda zalagao je za iskorištavanje aplikacije društvene poruke WhatsApp u svojim kampanjama za phishing-a protiv ciljeva interesnih obavještajnih agencija, upozorio je Microsoft .

Microsoft je neko vrijeme bio vruć na repu zvijezde, a kasno prošle godine, digitalno zločini (DCU) je dobila dozvolu iz suda Sjedinjenih Država da bi sproveo značajan rad za takmičenje protiv skoro 70 domena grupa. Od oktobra 2024., Microsoft i američki Ministarstvo pravde (DOJ) oduzeli su ili preuzeli van mreže više od 180 web stranica koje koristi Star Blizzard, koja je imala značajan kratkoročni učinak na sposobnost apt da se poprimi za svoje nefariozne poslove.

Ova je akcija već dala trezor informiranja za branitelje da odaberete, ali prema Microsoftovoj obavještajnom centru (Mstić) Grupa je pokazala izvanrednu otpornost i brzo prelazila na nove domene i metodologiju, uključujući eksploataciju WhatsAppa.

“Sredinom novembra 2024. godine, Microsoft prijetnja opaža … Star Blizzard Slanje tipičnih ciljeva Poruke sa kopčama koplja, ovaj put nudeći pretpostavljenu priliku za pridruživanje WhatsApp grupi”, rekao je mstički tim.

“Ovo je prvi put da smo identificirali pomak u dugotrajskoj taktici, tehnikama, tehnikama, zvijezdama u zvijezdama (TTPS) kako bi iskoristili novi vektor pristupa.

“Mi ocjenjujemo da prijetnji akter prelazni prelazak na kompromitiranje WhatSapp računa vjerovatno je kao odgovor na izloženost njihovih TTPS-a Microsoft prijetnjom inteligencijskim i drugim organizacijama, uključujući nacionalne cyber sigurnosne agencije. Dok se ova kampanja čini da je na kraju novembra namotana, isticamo novi pomak kao znak da akument za prijetnju može natražiti da promijeni svoje TTP-ove kako bi se izbjegla otkrivanje “, rekli su.

U kampanji WhatsApp-a, noćac Blizzard operativci prvi put su uspostavili kontakt sa svojim ciljevima putem e-pošte da bi ih se uključili u krivicu viših službenika američkog vlade. Ova e-pošta sadržavala je kôd za brzi odgovor (QR) koji je navodio da usmjerava primatelja da se pridruži WhatsApp grupi za raspravu o nevladinoj organizaciji (NVO) radu u Ukrajini. Međutim, u pokušaju da koaksiraju svoje žrtve u odgovore, QR Code je bio namjerno nefunkcionalan.

Ako je nesretan cilj odgovorio, zvijezda Blizzard je tada naišao natrag sa zamotanom, skraćenom vezom naizgled u režiju u WhatsApp grupu. Ovo je poslalo ciljeve na web stranicu koja sadrži drugi QR kod za skeniranje da se pridruže grupi.

U posljednjem biljoju time podćeroge, ovaj drugi QR kod nije bio povezan sa Grupom, ali umjesto toga koristi WhatsApp za povezivanje računa na WhatsApp web portal, koji se koriste da bi omogućili ljudima da pristupe svojim računima na radnom računaru umjesto Njihov pametni telefon, da li žele.

U skeniranju ovog drugog QR-a, žrtve su ustvari dale su puni pristup zvijezdama Blizzarda svojim WhatsApp računima, odakle su cyber raspakirani mogli čitati poruke i exfiltrate podatke koristeći dodatke za preglednik.

Mstić je rekao da je kampanja bila ograničena u svom opsegu i čini se da je završila krajem novembra 2024. godine. Međutim, rekao je istraživački tim, označava jasan odmor u tradici za zvijezde i ističe njegovu upornost.

Tipično ciljanje

Mstić savjetuje bilo kome da radi u sektorima koje zvjezdani mećava obično cilja da bi bio dodatni budni kada se bave neočekivanim ili neželjenim e-poštom od pouzdanih ili novih kontakata.

Međutim, obični korisnici trebaju se malo zabrinuti od APT-a za, kao i uvijek, ciljevi kampanje Star Blizzarda najčešće su pojedinci koji drže visoke ravne pozicije u vladi ili diplomatsku zajednicu, odbrambenu i međunarodne odnose, te “izvore pomoći” “Ukrajinu.

Kao izložena kompjuterskom tjednom u 2022., zvjezdana mećava prethodno hakirala, kompromitirala i procurila e-poštu i dokumente koji pripadaju nekadašnjem šefu Mi6, zajedno sa drugim pripadnicima tajničkog desničarskog mreže posvećene su kampanji za ekstremnu tvrdu Brexit.

Ova količina podataka izložila je i pokušaje grupe za širenje zavjera o porijeklu SARS-COV2 i utječu na vladinu politiku u Velikoj Britaniji o nauci i tehnologiji tokom Pandemije u Covidu.

Pročitajte više o hakerima i prevenciji cyberfime-a

  • Ranjivost nula dana u Sonicwall SMA seriji pod napadom

    Napisao: Arielle Waldman

  • Microsoft datoteke parnici za oduzeti domene koje koriste ruski satova

    Napisao: Alex Scroxton

  • Cisa: Midnight Blizzard dobio je e-poštu savezne agencije

    Napisao: Alexander Culafi

  • Midnight Blizzard pristupio Microsoftovim sistemima, izvorni kod

    Napisao: Alexander Culafi