Star Blizzard در کمپین جدید واتس اپ را هدف قرار داده است

گروه ملی روسیه استار بلیزارد حساب های واتس اپ را هدف قرار داد و پس از حذف زیرساخت های اجرای قانون، تمرکز این گروه تغییر کرد.

Microsoft Threat Intelligence مشاهده کرد که Star Blizzard یک کمپین مهندسی اجتماعی را در اواسط نوامبر 2024 انجام می دهد.

این کمپین جدید با هدف هک ، حساب های واتس اپ افراد شاغل در ،ت و سایر سمت های مرتبط سیاسی، به ویژه موارد مرتبط با روابط بین الملل و روسیه انجام می شود.

این اولین بار است که تغییری در تاکتیک ها، تکنیک ها و رویه های طول، مدت یک گروه جاسوسی سایبری (TTP) شناسایی می شود.

مایکروسافت گفت که تغییر به هدف قرار دادن WhatsApp احتمالاً در پاسخ به حذف بیش از 100 وب سایت مورد استفاده توسط مایکروسافت با هماهنگی ،ت ایالات متحده در اکتبر 2024 توسط Star Blizzard بوده است. TTPهای این گروه نیز در معرض افشای قابل توجهی توسط محققان امنیتی قرار گرفتند.

اگرچه این کمپین محدود بود و به نظر می رسد در پایان نوامبر به پایان رسیده است، با این وجود نشان دهنده وقفه در عملیات طول، مدت TTP Star Blizzard است و اصرار عامل تهدید در ادامه کمپین های فیشینگ برای دسترسی به اطلاعات حساس را حتی در ... بدتر شدن مکرر عملیات آن.

ستاره بلیزارد که با نام Coldriver نیز شناخته می شود، با سرویس اطلاعاتی روسیه FSB مرتبط است. قبلاً مشخص شده بود که بر کمپین های فیشینگ که سازمان های غیر،تی برجسته، افسران اطلاعاتی و نظامی سابق و ،ت های ناتو را برای اه، جاسوسی هدف قرار می دهند، تمرکز می کرد.

در دسامبر 2023، مرکز ملی امنیت سایبری بریت،ا (NCSC) گفت که این گروه در پشت یک کمپین سایبری مداوم با هدف مداخله در سیاست و فرآیندهای دموکراتیک بریت،ا قرار دارد.

کمپین فیشینگ با هدف قرار دادن داده های WhatsApp

کمپین WhatsApp به روشی مشابه حملات سنتی Star Blizzard آغاز شد، جایی که عامل تهدید از طریق فیشینگ با اه، خود تماس ایمیلی برقرار کرد.

آدرس برگشتی که استار بلیزارد استفاده می کند، جعل هویت یک مقام ،ت ایالات متحده است، و به شیوه این گروه برای جعل هویت چهره های شناخته شده سیاسی/دیپلماتیک ادامه می دهد.

ایمیل اولیه ارسال شده در این کمپین حاوی یک کد QR بود که هدف آن هدایت کاربران برای پیوستن به یک گروه واتس اپ در مورد "آ،ین طرح های NGO با هدف حمایت از سازمان های غیر،تی در اوکراین" بود.

این کد عمداً در تلاش برای متقاعد ، هدف برای ارسال یک پاسخ ایمیل ش،ته شد.

هنگامی که گیرنده پاسخ داد، Star Blizzard ایمیل دوم حاوی یک لینک امن با یک لینک کوتاه شده به ،وان پیوند جایگزین برای پیوستن به گروه WhatsApp ارسال کرد.

اگر هدف روی این پیوند کلیک کند، به یک صفحه وب هدایت می شود و از آنها می خواهد که یک کد QR را برای پیوستن به گروه اسکن کنند. با این حال، این کد QR در واقع توسط WhatsApp برای اتصال یک حساب کاربری به یک دستگاه مرتبط و/یا پورتال وب WhatsApp استفاده می شود.

اگر هدف از این دستورالعمل ها پیروی کند، Star Blizzard می تواند به پیام های موجود در حساب WhatsApp خود دسترسی داشته باشد و این داده ها را با استفاده از افزونه های درون مرورگر فیلتر کند. این پلاگین ها برای صادرات پیام های WhatsApp از حسابی طراحی شده اند که از طریق واتس اپ وب به آن دسترسی دارید.

مایکروسافت گفت کمپین جدید نشان می دهد که Star Blizzard بسیار انعطاف پذیر و سازگار است و به سرعت به مناطق جدید برای ادامه فعالیت های خود می رود. او انتظار دارد که سازمان به تطبیق تکنیک های TTP خود برای جلوگیری از شناسایی ادامه دهد.

این غول فناوری از همه کاربران ایمیل متعلق به بخش هایی که معمولاً توسط Star Blizzard هدف قرار می گیرند، خواست مراقب باشند، به ویژه پیام هایی که حاوی لینک هایی به منابع خارجی هستند.