De Russische bedreigingsacteur, bekend als Star Blizzard, is in verband gebracht met een nieuwe spearphishing-campagne die zich richt op de WhatsApp-accounts van slachtoffers.
“De doelen van Star Blizzard hebben meestal betrekking op de overheid of diplomatie (zowel zittende als voormalige positiehouders), defensiebeleid of onderzoekers op het gebied van internationale betrekkingen wier werk Rusland raakt, en bronnen van hulp aan Oekraïne in verband met de oorlog met Rusland”, aldus de Microsoft-dreiging. Dat schrijft het inlichtingenteam in een rapport gedeeld met The Hacker News.
Star Blizzard (voorheen SEABORGIUM) is een aan Rusland gelinkt dreigingsactiviteitencluster dat bekend staat om zijn campagnes voor het verzamelen van inloggegevens. Het is actief sinds minstens 2012 en wordt ook gevolgd onder de namen Blue Callisto, BlueCharlie (of TAG-53), Calisto (afwisselend gespeld als Callisto), COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 en UNC4057.
Eerder waargenomen aanvalsketens omvatten het verzenden van spearphishing-e-mails naar interessante doelwitten, meestal vanaf een Proton-account, waarbij documenten werden bijgevoegd met kwaadaardige links die doorverwijzen naar een door Evilginx aangedreven pagina die inloggegevens en tweefactorauthenticatiecodes (2FA) kan verzamelen via een tegenstander-in-the-middle-aanval (AiTM).
Star Blizzard is ook in verband gebracht met het gebruik van e-mailmarketingplatforms zoals HubSpot en MailerLite om de echte afzenderadressen van e-mail te verbergen en de noodzaak te ondervangen van het opnemen van door actoren gecontroleerde domeininfrastructuur in e-mailberichten.
Eind vorig jaar kondigden Microsoft en het Amerikaanse ministerie van Justitie (DoJ) de inbeslagname aan van meer dan 180 domeinen die door de bedreigingsacteur werden gebruikt om journalisten, denktanks en niet-gouvernementele organisaties (NGO’s) aan te vallen tussen januari 2023 en augustus 2024. .
De technologiegigant schatte dat de openbaarmaking van zijn activiteiten er waarschijnlijk toe heeft geleid dat de hackers hun tactiek hebben gewijzigd door WhatsApp-accounts te compromitteren. Dat gezegd hebbende, lijkt de campagne beperkt te zijn geweest en eind november 2024 te zijn beëindigd.
“De doelwitten behoren voornamelijk tot de sectoren overheid en diplomatie, waaronder zowel huidige als voormalige functionarissen”, vertelde Sherrod DeGrippo, directeur Threat Intelligence Strategy bij Microsoft, aan The Hacker News.
“Bovendien omvatten de doelwitten personen die betrokken zijn bij het defensiebeleid, onderzoekers in de internationale betrekkingen die zich richten op Rusland, en degenen die hulp bieden aan Oekraïne in verband met de oorlog met Rusland.”
Het begint allemaal met een spearphishing-e-mail die beweert afkomstig te zijn van een Amerikaanse overheidsfunctionaris om deze een laagje legitimiteit te geven en de kans te vergroten dat het slachtoffer met hem in contact komt.
Het bericht bevat een QR-code (Quick Response) die de ontvangers aanspoort zich aan te sluiten bij een zogenaamde WhatsApp-groep over “de nieuwste niet-gouvernementele initiatieven gericht op het ondersteunen van Oekraïense NGO’s.” De code wordt echter opzettelijk verbroken om een reactie van het slachtoffer uit te lokken.
Als de e-mailontvanger antwoordt, stuurt Star Blizzard een tweede bericht, waarin hij wordt gevraagd op de (.) verkorte link te klikken om lid te worden van de WhatsApp-groep, terwijl hij zich verontschuldigt voor het veroorzaakte ongemak.
“Wanneer deze link wordt gevolgd, wordt het doelwit doorgestuurd naar een webpagina waarin wordt gevraagd een QR-code te scannen om zich bij de groep aan te sluiten”, legt Microsoft uit. “Deze QR-code wordt echter daadwerkelijk door WhatsApp gebruikt om een account te koppelen aan een gekoppeld apparaat en/of de WhatsApp Webportal.”
In het geval dat het doelwit de instructies op de site volgt (“aerofluidthermo(.)org”), stelt de aanpak de bedreigingsacteur in staat ongeautoriseerde toegang te krijgen tot zijn WhatsApp-berichten en zelfs de gegevens te exfiltreren via browser-add-ons.
Individuen die behoren tot sectoren waarop Star Blizzard zich richt, wordt geadviseerd voorzichtig te zijn als het gaat om het omgaan met e-mails die links naar externe bronnen bevatten.
De campagne “markeert een breuk in de al lang bestaande Star Blizzard TTP’s en benadrukt de vasthoudendheid van de dreigingsactor in het voortzetten van spear-phishing-campagnes om toegang te krijgen tot gevoelige informatie, zelfs in het licht van herhaalde verslechtering van zijn activiteiten.”
