威胁情报信息分享|俄罗斯网络对手BlueCharlie应对披露行动改变基础设施

一名与俄罗斯有关的APT团队已被关联到94个新的域名，这表明该组织正在积极修改其基础设施，以应对其活动的公开披露。

网络安全公司Recorded Future将这个新的基础设施与其追踪的一个名为BlueCharlie的威胁行为者联系起来，这个黑客团队广泛地被称为Blue Callisto、Callisto（或Calisto）、COLDRIVER、Star Blizzard（前称SEABORGIUM）和TA446。BlueCharlie之前被临时指定为Threat Activity Group 53（TAG-53）。

该公司在与Hacker News共享的一份新的技术报告中说：“这些变化表明这些威胁行为者注意到了行业报告，并在他们的努力中表现出一定的复杂程度，以使活动模糊或改变，目的是阻挠安全研究员。”

BlueCharlie被评估为与俄罗斯联邦安全局（FSB）有关，该威胁行为者被关联到通过使用伪装为私营企业、核研究实验室和参与乌克兰危机救援的非政府组织的登录页面的域名进行凭证盗窃的网络钓鱼活动。据说该组织至少从2017年就开始活动了。

Sekoia今年早些时候指出：“Calisto的收集活动可能有助于俄罗斯破坏基辅供应链以获取军事援助。” “此外，俄罗斯关于已确认的战争罪证据的情报收集可能是为了预期并构建对未来指控的反驳论述。”

NISOS在2023年1月发布的另一份报告指出该团队的攻击基础设施与在该国与政府实体签订合同的一家俄罗斯公司可能存在关联。

Recorded Future说：“BlueCharlie进行了持续的网络钓鱼和凭证盗窃活动，进一步促使入侵和数据盗窃。” 他们还补充说，这个行为者进行广泛的侦查，以提高其攻击的成功概率。

最新的发现揭示，BlueCharlie已经转向了以信息技术和加密货币相关的关键字为其域名命名，如cloudrootstorage[.]com，directexpressgateway[.]com，storagecryptogate[.]com和pdfsecxcloudroute[.]com。

据说这94个新域名中的78个是使用NameCheap注册的。其他一些使用的域名注册商包括Porkbun和Regway。

为了减轻由国家赞助的高级持续性威胁（APT）组织所构成的威胁，建议组织实施抵抗网络钓鱼的多因素认证（MFA），在Microsoft Office中默认禁用宏，并执行频繁的密码重置政策。

该公司说：“虽然该组织使用相对常见的技术来进行攻击（如使用网络钓鱼和历史上依赖开源攻击安全工具），但其可能持续使用这些方法，坚定的态度，以及战术的持续演变表明该组织仍然强大且有能力。”

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|俄罗斯网络对手BlueCharlie应对披露行动改变基础设施