导 读
名为 Star Blizzard 的俄罗斯威胁组织被发现参与了一项针对受害者 WhatsApp 账户的鱼叉式网络钓鱼活动,这表明其可能背离了长期以来的攻击手法,试图逃避侦查。
微软威胁情报团队在一份报告中表示:“Star Blizzard 的目标最常见的是与政府或外交(现任和前任职位持有者)、国防政策或国际关系研究人员有关,他们的工作涉及俄罗斯,以及与俄罗斯战争有关的对乌克兰的援助来源。 ”
Star Blizzard(原名 SEABORGIUM)是一个与俄罗斯有关的威胁活动集群,以其凭证收集活动而闻名。该组织至少从 2012 年开始活跃,还以 Blue Callisto、BlueCharlie(或 TAG-53)、Calisto(也拼写为 Callisto)、COLDRIVER、Dancing Salome、Gossamer Bear、Iron Frontier、TA446 和 UNC4057 等绰号进行追踪。
之前观察到的攻击链涉及向感兴趣的目标发送鱼叉式网络钓鱼电子邮件(通常来自 Proton 帐户),附加嵌入恶意链接的文档,这些链接重定向到由 Evilginx 驱动的页面,该页面能够通过中间人 (AiTM) 攻击获取凭据和双因素身份验证 (2FA) 代码。
Star Blizzard 还涉嫌使用 HubSpot 和 MailerLite 等电子邮件营销平台来隐藏真正的电子邮件发件人地址,从而避免在电子邮件中包含参与者控制的域基础设施。
去年年底,微软和美国司法部 (DoJ)宣布查获了 180 多个域名,这些域名被威胁组织在 2023 年 1 月至 2024 年 8 月期间用来攻击记者、智库和非政府组织 (NGO)。
微软评估称,公开披露其活动可能促使黑客团队通过入侵 WhatsApp 账户来改变策略。尽管如此,该活动似乎受到了限制,并于 2024 年 11 月底结束。
微软威胁情报战略总监 Sherrod DeGrippo表示:“目标主要属于政府和外交部门,包括现任和前任官员。”
“此外,目标还包括参与国防政策的个人、专注于俄罗斯的国际关系研究人员以及在与俄罗斯的战争中向乌克兰提供援助的个人。”
一切都始于一封声称来自美国政府官员的鱼叉式网络钓鱼电子邮件,以赋予其合法性的外表并增加受害者与其互动的可能性。
该信息包含一个二维码,敦促收件人加入一个所谓的 WhatsApp 群组,讨论“旨在支持乌克兰非政府组织的最新非政府举措”。然而,该代码被故意损坏,以触发受害者的回应。
Star Blizzard 初始鱼叉式网络钓鱼电子邮件,其中包含损坏的二维码
如果电子邮件收件人回复,Star Blizzard 会发送第二条消息,要求他们点击短网址加入 WhatsApp 群组,同时对造成的不便表示歉意。
Star Blizzard 后续带有 URL 链接的鱼叉式网络钓鱼电子邮件
微软解释道:“点击此链接后,目标将被重定向到一个网页,要求他们扫描二维码加入群组。然而,WhatsApp 实际上使用此二维码将帐户连接到链接设备和/或 WhatsApp Web 门户。”
使用 WhatsApp 链接二维码进行恶意 Star Blizzard 网络钓鱼尝试
如果目标按照网站(“aerofluidthermo[.]org”)上的说明进行操作,该方法将允许攻击者未经授权访问他们的 WhatsApp 消息,甚至通过浏览器插件窃取数据。
安全专家建议属于 Star Blizzard 所针对的行业的个人在处理包含外部来源链接的电子邮件时务必小心谨慎。
此次活动“标志着星际暴雪长期以来的 TTP 的突破,凸显了威胁行为者即使在运营不断恶化的情况下,仍坚持通过鱼叉式网络钓鱼活动获取敏感信息的韧性。”
微软官方博客:
https://www.microsoft.com/en-us/security/blog/2025/01/16/new-star-blizzard-spear-phishing-campaign-targets-whatsapp-accounts/
新闻链接:
https://thehackernews.com/2025/01/russian-star-blizzard-shifts-tactics-to.html
原文始发于微信公众号(军哥网络安全读报):俄APT组织Star Blizzard利用WhatsApp二维码窃取凭证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论