暗网简介: 俄罗斯的Star Blizzard

Star Blizzard 以下特称星暴雪

    在不断变化的网络威胁形势下，星暴雪的策略以经过计算的精度展开，类似于战略编排。在这种情况下，鱼叉式网络钓鱼反映了精心计划和执行的策略。这个难以捉摸的群体表现出与经验丰富的专家相当的复杂程度，系统地识别特定的个人和群体作为他们的目标受众。

    通过巧妙地利用为吸引目标而定制的信息，Star Blizzard 执行了鱼叉式网络钓鱼活动的复杂步骤，以识别被认为可以直接访问有价值信息或作为通往令人垂涎的资产的门户的个人。

    这个老练的对手瞄准了学术界、国防、政府组织、非政府组织和智囊团内的特定实体。

    随着星际暴雪的令人毛骨悚然的策略继续展开，网络战争错综复杂的舞蹈揭示了民族国家参与者之间复杂的相互作用，每个国家都在不断变化的网络舞台上争夺霸主地位。

星暴雪是谁？

    Star Blizzard 以前被认为是SEABORGIUM，并具有 Callisto Group、TA446、COLDRIVER、TAG-53 和 BlueCharlie 等其他别名，自 2019 年以来一直是俄罗斯政府直接支持的鱼叉式网络钓鱼活动。这个难以捉摸的组织，类似于一个数字网络phantom，采用了高度复杂的方法，使其在网络威胁领域脱颖而出。

    威胁参与者 Star Blizzard 表现出一丝不苟的态度，利用社交媒体和网络平台彻底跟踪受害者。他们花时间了解他们的目标，制作虚假电子邮件帐户和社交媒体资料，甚至创建欺骗性网站和虚假活动邀请。这种精心的基础工作使他们能够令人信服地冒充亲密接触者或专家。

星暴雪如何攻击？

    该组织主要依靠发送到个人电子邮件地址的鱼叉式网络钓鱼电子邮件，偶尔也会利用公司地址。因此，这种基本方法已成为他们运营的象征，因为这种策略使他们能够避开公司网络的安全控制。

    星暴雪设置的陷阱是通过共同利益吸引受害者参与对话。一旦建立了融洽的关系，他们就会战略性地引入恶意链接，这些链接通常伪装成熟悉的平台，如 Google Drive 或 OneDrive。 

侦察

    Star Blizzard 利用公开资源收集信息，采用了搜索社交媒体和专业网络平台的侦察技术。通过这种方法，黑客组织可以确定与目标接触的切入点，投入时间研究他们的兴趣并辨别他们现实世界的社交或职业关系。

    为了保持合法性，星际暴雪伪造了模仿目标圈子内公认联系人的电子邮件帐户。此外，他们还制作欺骗性的社交媒体和网络资料，通常冒充信誉良好的专家。众所周知，该组织利用会议或活动邀请的幌子来引诱目标落入陷阱。

    在初次接触期间，Star Blizzard 使用了来自不同提供商的电子邮件地址，例如 Outlook、Gmail、Yahoo 和 Proton Mail。这些地址经过精心挑选，以冒充目标的已知联系人或目标特定领域或部门内的知名人物。

    为了进一步提高其可信度，威胁行为者不遗余力地创建与合法组织非常相似的恶意域，为他们的欺骗策略增加了一层真实性。

闪避

    由于他们的主要策略涉及通过网络钓鱼电子邮件进行渗透，因此他们也会根据这一策略调整其规避策略。攻击者故意选择个人电子邮件地址作为绕过公司网络实施的安全措施的战略举措。

建立信任策略

    星暴雪投入了大量精力来研究目标的利益和联系，以构建一种看似合法的方法。随后，该团体通过建立看似无害的联系来启动培养信任的过程。这种最初的互动通常围绕着精心选择的主题来吸引目标。值得注意的是，在此阶段，星暴雪不会参与任何恶意活动，只专注于与目标建立融洽的关系。

    一旦他们确信已经建立了必要的融洽关系，他们就会开始发动攻击。这种方法涉及攻击者和目标之间持续的通信，有时跨越很长一段时间以巩固融洽的关系。

交货

    成功建立信任后，Star Blizzard 通过共享看似将目标引导至感兴趣的文档或网站的链接，采用标准网络钓鱼技术。然而，此链接会导致攻击者控制服务器，迫使目标输入其帐户凭据。

    恶意链接可能表现为嵌入电子邮件中的 URL，或者攻击者可能会将链接合并到 OneDrive、Google Drive 或其他文件共享服务等平台上托管的文档中。

    在鱼叉式网络钓鱼活动中，Star Blizzard 利用开源框架EvilGinx来获取凭证和会话 cookie。事实证明，EvilGinx 的这种策略性使用可以有效规避双因素身份验证的保护措施。

开发

    无论选择哪种传递方式，当目标点击恶意 URL时，他们都会被重定向到由 Star Blizzard 控制的服务器。该服务器复制合法服务的登录页面。在此阶段，在此欺骗性页面上输入的任何凭据都会受到损害。

    随后，Star Blizzard 利用获得的凭据对目标的电子邮件帐户进行未经授权的访问。

    攻击者还进一步利用对受害者电子邮件帐户的访问来提取邮件列表数据和受害者的联系人列表。然后将获得的信息用于后续的有针对性的活动。此外，Star Blizzard 还利用受感染的电子邮件帐户进行长期的网络钓鱼活动。

目标国家：

    星际暴雪精心策划了一些活动，重点关注北约国家，特别是美国和英国。然而，威胁行为者的影响范围已扩展到波罗的海地区、北欧和东欧的其他国家。一个值得注意的例子是在俄罗斯入侵之前的几个月里，针对乌克兰政府部门的攻击。尽管与支持乌克兰战争的组织进行了接触，微软的评估表明乌克兰可能不是星际暴雪的主要关注点；相反，它似乎是更广泛的不同目标中的一个反应性焦点领域。

结论

    Star Blizzard 是一个强大的网络对手，它采用复杂的鱼叉式网络钓鱼策略来战略性地针对不同的行业和地区。由于明显关注北约国家，特别是美国和英国，以及地缘政治事件期间对乌克兰的反应性兴趣，威胁行为者的目标范围广泛，包括国防公司、非政府组织、政府间组织、智库和具有俄罗斯事务专业知识的个人。对于以前的目标，保持警惕至关重要，因为了解 Star Blizzard 的策略对于加强防御其持续的网络威胁至关重要。接下来的部分将提供必要的安全建议，以防范 Star Blizzard 的多方面活动。

建议：防范星暴雪

    防御策略对于有效避免 Star Blizzard 等威胁行为者的恶意活动至关重要。在此背景下，个人和组织不仅应实施全面的网络安全措施，还应勤于识别潜在威胁要素，培养网络安全威胁意识。这对于适应网络安全格局的动态变化以及内化针对星暴雪等实体构成的威胁的主动立场至关重要。

网络钓鱼意识：提高网络威胁意识，认识到鱼叉式网络钓鱼电子邮件是为了逃避怀疑而精心设计的。通过检查发件人地址来验证电子邮件的合法性，尤其是当它们与典型的公司电子邮件地址不同时。如果电子邮件发送至您的个人/网络邮件地址而不是您的公司地址，请务必小心，并通过其他方式验证电子邮件的真实性。

密码创建：通过使用独特且强的密码来利用强大的密码实践，特别是避免在各种服务中重复使用密码。 

使用 MFA：实施多重身份验证 (MFA)，也称为两因素身份验证 (2FA) 或两步验证，以减轻潜在密码泄露的影响。 

设备和网络保护：确保您的设备和网络始终更新为最新的受支持版本，从而保护您的设备和网络。及时应用安全更新、使用防病毒软件并定期进行扫描，以加强对已知恶意软件威胁的防御。 

自动电子邮件扫描：激活电子邮件服务提供商提供的自动电子邮件扫描功能，因为消费者邮件服务通常默认启用这些功能。查看我们的电子邮件威胁分析器。

邮件转发规则：禁用邮件转发功能，因为已观察到威胁行为者使用此策略来保持目标电子邮件的可见性。定期监控设置，以确保外部恶意行为者没有建立未经授权的邮件转发规则，或者，如果禁用不可行，则采取主动措施定期评估和阻止外部实体设置潜在的转发规则。

数据泄露协议：确保数据泄露协议到位并符合与数据暴露和泄露有关的法律和监管要求。欲了解更多信息，您可以访问我们的帐户违规检查器。

通知程序：建立程序，在发生数据泄露时通知受影响方和相关当局。

利用威胁情报：利用网络威胁情报来深入了解 Star Blizzard 所采用的策略、技术和程序 (TTP)。

原文始发于微信公众号（OSINT研习社）：暗网简介: 俄罗斯的Star Blizzard