После многочисленных разоблачений и сбоев спонсируемая Кремлем организация, занимающаяся современными постоянными угрозами (APT), снова усовершенствовала свои методы уклонения. Однако на этой неделе об этом шаге также сообщила Microsoft.
«Star Blizzard» (также известная как Seaborgium, BlueCharlie, Callisto Group и Coldriver) занимается кражей учетных данных электронной почты в целях проведения кампаний по кибершпионажу и кибервлиянию, по крайней мере, с 2017 года. Исторически ее цель была сосредоточена на государственных и частных организациях НАТО. страны-члены, как правило, в областях, связанных с политикой, обороной и смежными секторами — НПО, аналитические центры, журналисты, академические учреждения, межправительственные организации и так далее. В последние годы он особенно нацелен на отдельных лиц и организации, оказывающих поддержку Украине.
Но на каждое успешное нарушение Star Blizzard также известна своими сбоями в OpSec. Майкрософт распалась группа в августе 2022 года и с тех пор Recorded Future отслеживал это не так тонко. попытались перейти на новую инфраструктуру. А в четверг Microsoft вернулась, чтобы сообщить о его последние попытки уклонения от. Эти усилия включают в себя пять основных новых приемов, в первую очередь превращение платформ электронного маркетинга в оружие.
Microsoft отказалась комментировать эту статью.
Последние ТТП Star Blizzard
Чтобы обойти фильтры электронной почты, Star Blizzard начала использовать заманчивые PDF-документы, защищенные паролем, или ссылки на облачные платформы обмена файлами с содержащимися в них защищенными PDF-файлами. Пароли к этим документам обычно приходят в одном и том же фишинговом письме или в электронном письме, отправленном вскоре после первого.
В качестве небольших препятствий для потенциального человеческого анализа Star Blizzard начала использовать провайдера службы доменных имен (DNS) в качестве обратного прокси-сервера, скрывая IP-адреса, связанные с его виртуальными частными серверами (VPS), а также фрагменты JavaScript на стороне сервера, предназначенные для предотвращения автоматического сканирование своей инфраструктуры.
Он также использует более рандомизированный алгоритм генерации доменов (DGA), чтобы сделать обнаружение закономерностей в своих доменах более громоздким. Однако, как отмечает Microsoft, домены Star Blizzard по-прежнему имеют определенные определяющие характеристики: они обычно регистрируются в Namecheap в группах, которые часто используют схожие соглашения об именах, и имеют сертификаты TLS от Let’s Encrypt.
Помимо своих мелких уловок, Star Blizzard начала использовать службы электронного маркетинга Mailerlite и HubSpot для управления своими фишинговыми выходками.
Использование электронного маркетинга для фишинга
Как объяснила Microsoft в своем блоге, «актер использует эти сервисы для создания кампании по электронной почте, которая предоставляет им выделенный поддомен в сервисе, который затем используется для создания URL-адресов. Эти URL-адреса действуют как точка входа в цепочку перенаправлений, заканчивающуюся на управляемой актером странице. Серверная инфраструктура Evilginx. Службы также могут предоставить пользователю выделенный адрес электронной почты для каждой настроенной почтовой кампании, который, как было замечено, злоумышленник использовал в качестве адреса «От» в своих кампаниях».
Иногда хакеры идут наперекор тактике, встраивая в тело своих PDF-файлов, защищенных паролем, маркетинговые URL-адреса электронной почты, которые они используют для перенаправления на свои вредоносные серверы. Эта комбинация устраняет необходимость включать в электронные письма собственную инфраструктуру домена.
«Их использование облачных платформ, таких как HubSpot, MailerLite и виртуальных частных серверов (VPS) в сочетании со сценариями на стороне сервера для предотвращения автоматического сканирования, является интересным подходом», — объясняет аналитик по анализу угроз Recorded Future Insikt Group Зои Селман, — «поскольку это позволяет BlueCharlie устанавливать параметры разрешения для перенаправления жертвы в инфраструктуру субъекта угрозы только при соблюдении требований».
Недавно исследователи заметили, что группа использовала услуги электронного маркетинга для нападения на аналитические центры и исследовательские организации, используя обычную приманку, с целью получить учетные данные для портала управления грантами США.
В последнее время группа добилась и некоторых других успехов, отмечает Селман, «в первую очередь против правительственных чиновников Великобритании в операциях по сбору учетных данных и утечке учетных данных, которые используются в операциях по оказанию влияния, например, против бывшего руководителя британской МИ-6 Ричарда Дирлава, британца Член парламента Стюарт Макдональд известен тем, что, по крайней мере, пытался атаковать сотрудников некоторых наиболее влиятельных национальных ядерных лабораторий США».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/russia-star-blizzard-apt-upgrades-stealth-unmasked
