De dreigingsacteur die bekend staat als COLDRIVER is zich blijven bezighouden met diefstal van identiteitsgegevens tegen entiteiten die van strategisch belang zijn voor Rusland, terwijl hij tegelijkertijd zijn capaciteiten voor het ontwijken van detectie heeft verbeterd.
Het Microsoft Threat Intelligence-team volgt onder het cluster as Sterren Sneeuwstorm (voorheen SEABORGIUM). Het wordt ook Blue Callisto, BlueCharlie (of TAG-53), Calisto (afwisselend gespeld als Callisto) en TA446 genoemd.
De tegenstander “blijft zich veelvuldig richten op individuen en organisaties die betrokken zijn bij internationale zaken, defensie en logistieke steun aan Oekraïne, maar ook op de academische wereld, informatiebeveiligingsbedrijven en andere entiteiten die zich aansluiten bij de Russische staatsbelangen”, aldus Redmond.
Star Blizzard, verbonden aan de Russische Federale Veiligheidsdienst (FSB), heeft een trackrecord in het opzetten van lookalike domeinen die de inlogpagina’s van beoogde bedrijven nabootsen. Het is bekend dat het minstens sinds 2017 actief is.
In augustus 2023 onthulde Recorded Future 94 nieuwe domeinen die deel uitmaken van de aanvalsinfrastructuur van de bedreigingsacteur, waarvan de meeste trefwoorden bevatten die verband houden met informatietechnologie en cryptocurrency.
Microsoft zei dat het zag dat de tegenstander vanaf april 2023 scripts op de server gebruikte om automatisch scannen van de door actoren gecontroleerde infrastructuur te voorkomen, waarbij hij afstapte van hCaptcha om interessante doelen te bepalen en de browsersessie omleidde naar de Evilginx-server.
De JavaScript-code aan de serverzijde is ontworpen om te controleren of er plug-ins in de browser zijn geïnstalleerd, of de pagina wordt geopend door een automatiseringstool zoals Selenium of PhantomJS, en om de resultaten naar de server te verzenden in de vorm van een HTTP POST-verzoek.
“Na het POST-verzoek beoordeelt de redirectorserver de gegevens die uit de browser zijn verzameld en beslist of verdere browseromleiding wordt toegestaan”, aldus Microsoft.
“Wanneer er een goed oordeel is bereikt, ontvangt de browser een reactie van de omleidingsserver, die doorverwijst naar de volgende fase van de keten, die ofwel een hCaptcha is die de gebruiker moet oplossen, ofwel rechtstreeks naar de Evilginx-server.”
Ook nieuw gebruikt door Star Blizzard zijn e-mailmarketingdiensten zoals HubSpot en MailerLite om campagnes op te zetten die dienen als het startpunt van de omleidingsketen die culmineert bij de Evilginx-server die de inloggegevens-oogstpagina host.
Bovendien is waargenomen dat de bedreigingsactor een DNS-provider (Domain Name Service) gebruikt om de door de actor geregistreerde domeininfrastructuur op te lossen, waarbij hij met een wachtwoord beveiligde PDF-lokmiddelen verzendt waarin de links zijn ingesloten om e-mailbeveiligingsprocessen te omzeilen en de bestanden op Proton Drive te hosten.
Dat is niet alles. Als teken dat de bedreigingsacteur actief de publieke berichtgeving over zijn tactieken en technieken in de gaten houdt, heeft hij nu zijn domeingeneratie-algoritme (DGA) geüpgraded om een meer willekeurige lijst met woorden op te nemen bij het benoemen ervan.
Ondanks deze veranderingen “blijven de activiteiten van Star Blizzard gericht op diefstal van e-mailgegevens, waarbij ze zich voornamelijk richten op cloudgebaseerde e-mailproviders die organisatorische en/of persoonlijke e-mailaccounts hosten”, aldus Microsoft.
“Star Blizzard blijft constant gebruik maken van paren speciale VPS’en voor het hosten van door actoren gecontroleerde infrastructuur (redirector + Evilginx-servers) die wordt gebruikt voor spear-phishing-activiteiten, waarbij elke server gewoonlijk een afzonderlijk door een actor geregistreerd domein host.”
Britse sancties Twee leden van Star Blizzard
De ontwikkeling komt op het moment dat Groot-Brittannië Star Blizzard heeft opgeroepen voor “aanhoudende, mislukte pogingen om zich te bemoeien met Britse politieke processen” door zich via cyberoperaties op spraakmakende individuen en entiteiten te richten.
Naast het koppelen van Star Blizzard aan Center 18, een ondergeschikt element binnen de FSB, heeft de Britse regering twee leden van de hackploeg – Ruslan Aleksandrovich Peretyatko en Andrey Stanislavovich Korinets (ook bekend als Alexey Doguzhiev) – gestraft voor hun betrokkenheid bij de spearphishing-campagnes.
De activiteit “resulteerde in ongeoorloofde toegang tot en exfiltratie van gevoelige gegevens, die bedoeld was om Britse organisaties en breder de Britse regering te ondermijnen”, aldus het rapport.
