Star Blizzard Threat Schauspieler
Der russische Cyber-Bedrohungsakteur Star Blizzard wurde mit einer neuen Spear-Phishing-Kampagne in Verbindung gebracht, die auf die WhatsApp-Konten der Opfer abzielt. Dies stellt eine Abkehr von seiner üblichen Taktik dar, die wahrscheinlich darauf abzielt, einer Entdeckung zu entgehen und seine Operationen unter verstärkter Beobachtung zu halten.
Inhaltsverzeichnis
Prominente Ziele in Regierung und Diplomatie
Star Blizzard zielt in erster Linie auf Personen mit Verbindungen zur Regierung und Diplomatie ab, darunter aktuelle und ehemalige Amtsträger. Außerdem zielt es auf Forscher ab, die sich auf Verteidigungspolitik und internationale Beziehungen spezialisiert haben, insbesondere auf diejenigen, deren Arbeit mit Russland zu tun hat. Eine weitere wichtige Gruppe im Visier sind Personen und Organisationen, die der Ukraine im anhaltenden Konflikt mit Russland helfen.
Der berüchtigte Sternensturm: Eine anhaltende Bedrohung
Star Blizzard, früher bekannt als SEABORGIUM, hat eine lange Geschichte von Cyberaktivitäten, die mindestens bis 2012 zurückreicht. Die Gruppe operiert unter mehreren Decknamen, darunter Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 und UNC4057. Diese Gruppe ist berüchtigt für ihre Kampagnen zum Abgreifen von Anmeldeinformationen, die in der Regel über Spear-Phishing-E-Mails durchgeführt werden, die darauf abzielen, vertrauliche Anmeldeinformationen zu stehlen.
Eine Geschichte irreführender Taktiken
Star Blizzard verwendet traditionell Phishing-E-Mails, die von ProtonMail-Konten gesendet werden, und bettet bösartige Links in Dokumente ein, um Opfer dazu zu verleiten, Anmeldeinformationen bereitzustellen. Diese Angriffe nutzen häufig von Evilginx betriebene Seiten, um Sicherheitsmaßnahmen der Zwei-Faktor-Authentifizierung (2FA) durch eine Adversary-in-The-Middle-Technik (AiTM) zu umgehen. Die Gruppe nutzt auch E-Mail-Marketingplattformen wie HubSpot und MailerLite, um Absenderdetails zu verschleiern und Sicherheitsfilter zu umgehen.
Unterbrechungen und Anpassungen
Die Bemühungen, die Aktivitäten von Star Blizzard einzudämmen, gewannen Ende letzten Jahres an Fahrt, als Microsoft und das US-Justizministerium (DoJ) über 180 mit der Gruppe verbundene Domains beschlagnahmten. Diese Domains wurden zwischen Januar 2023 und August 2024 aktiv genutzt, um Journalisten, Think Tanks und NGOs ins Visier zu nehmen. Die zunehmende öffentliche Aufmerksamkeit dieser Operationen könnte die Gruppe gezwungen haben, ihre Taktik anzupassen, was zu der jüngsten WhatsApp-fokussierten Kampagne führte.
Das WhatsApp-Phishing-Schema enthüllt
Die jüngste Kampagne beginnt mit einer Spear-Phishing-E-Mail, die sich als Nachricht eines US-Regierungsbeamten ausgibt. Dieser irreführende Ansatz verleiht der E-Mail Glaubwürdigkeit und erhöht die Wahrscheinlichkeit einer Kontaktaufnahme durch das Ziel. Die E-Mail enthält einen QR-Code, der die Empfänger angeblich dazu einlädt, einer WhatsApp-Gruppe beizutreten, die sich der Unterstützung ukrainischer NGOs widmet. Der Code wird jedoch absichtlich geknackt, um das Opfer zu einer Antwort zu bewegen.
Eine mehrstufige Täuschung
Nach Erhalt einer Antwort sendet Star Blizzard eine Folge-E-Mail, in der sich das Unternehmen für das Problem entschuldigt und einen verkürzten t.ly-Link zur WhatsApp-Gruppe bereitstellt. Durch Klicken auf den Link wird das Ziel auf eine Webseite umgeleitet, auf der es aufgefordert wird, einen weiteren QR-Code zu scannen. Anstatt jedoch Zugriff auf eine legitime Gruppe zu gewähren, ist dieser QR-Code eine Falle, die die Kontoverknüpfungsfunktion von WhatsApp ausnutzt und Angreifern unbefugten Zugriff auf Nachrichten und Daten gewährt.
Ausnutzen der Funktionen von WhatsApp
Opfer, die den Anweisungen auf der betrügerischen Website („aerofluidthermo.org“) folgen, erlauben Star Blizzard unwissentlich, ihre WhatsApp-Konten zu infiltrieren. Mit dieser Methode können die Angreifer Nachrichten und andere vertrauliche Daten exfiltrieren, möglicherweise über Browsererweiterungen.
Vorsichtsmaßnahmen für gefährdete Personen
Wer in der Regierung, Diplomatie, Verteidigungspolitik oder internationalen Beziehungen arbeitet – insbesondere mit Verbindungen zur Ukraine – sollte beim Umgang mit E-Mails mit Links zu externen Quellen wachsam bleiben. Um Gefährdungen zu vermeiden, ist es wichtig, die Echtheit unerwarteter Nachrichten zu überprüfen, bevor man auf Links klickt oder QR-Codes scannt.
Eine anhaltende und sich weiterentwickelnde Cyber-Bedrohung
Diese jüngste Kampagne unterstreicht die Anpassungsfähigkeit und Entschlossenheit von Star Blizzard, trotz wiederholter Rückschläge weiterhin Spear-Phishing-Operationen durchzuführen. Durch die Umstellung auf WhatsApp-Phishing zeigt die Gruppe ihre Fähigkeit, Taktiken weiterzuentwickeln, und unterstreicht die anhaltende Notwendigkeit von Cybersicherheitsbewusstsein und Schutzmaßnahmen bei den anvisierten Personen und Organisationen.
