HackerNews 编译,转载请注明出处:
俄罗斯黑客组织“星暴”已被关联到一起新的钓鱼攻击活动,该活动瞄准受害者的WhatsApp账户,这标志着其可能为了逃避检测而改变了长期以来的作案手法。
微软威胁情报团队在与The Hacker News分享的一份报告中称:“星暴”的目标通常与政府或外交部门(包括现任和前任官员)、国防政策或涉及俄罗斯的国际关系研究人员,以及与俄乌战争相关的对乌克兰援助方有关。
“星暴”(原名SEABORGIUM)是一个与俄罗斯有关联的威胁活动集群,以凭证收集活动而闻名。该组织自2012年至少就已开始活跃,还曾被追踪为Blue Callisto、BlueCharlie(或TAG-53)、Calisto(或Callisto的另一种拼写)、COLDRIVER、Dancing Salome、Gossamer Bear、Iron Frontier、TA446和UNC4057等别名。
此前观察到的攻击链涉及向感兴趣的目标发送钓鱼邮件,通常来自Proton账户,邮件附件中包含恶意链接,这些链接会重定向到由Evilginx支持的页面,该页面能够通过中间人(AiTM)攻击收集凭证和二次验证(2FA)代码。
“星暴”还被关联到使用HubSpot和MailerLite等电子邮件营销平台来隐藏真实的电子邮件发件人地址,并避免在电子邮件消息中包含由黑客控制的域名基础设施。
去年年底,微软和美国司法部(DoJ)宣布查封了180多个域名,这些域名被该威胁组织用于在2023年1月至2024年8月期间瞄准记者、智库和非政府组织(NGO)。
这家科技巨头评估认为,对其活动的公开披露可能促使黑客团队通过攻击WhatsApp账户来改变策略。也就是说,该活动似乎规模有限,并在2024年11月底结束。
微软威胁情报战略总监Sherrod DeGrippo告诉The Hacker News:“目标主要属于政府和外交部门,包括现任和前任官员。”
“此外,目标还包括涉及国防政策的人员、专注于俄罗斯的国际关系研究人员以及与俄乌战争相关的对乌克兰援助方。”
这一切始于一封自称来自美国政府官员的钓鱼邮件,以赋予其合法性,并增加受害者与其互动的可能性。
邮件中包含一个快速响应(QR)码,敦促收件人加入一个所谓的WhatsApp群组,讨论“最新的非政府组织支持乌克兰NGO的倡议”。然而,该代码是故意损坏的,以触发受害者的回复。
如果邮件收件人回复,“星暴”会发送第二条消息,要求他们点击一个t[.]ly缩短的链接加入WhatsApp群组,并为此带来的不便表示歉意。
微软解释道:“点击此链接后,目标会被重定向到一个网页,要求他们扫描二维码加入群组。然而,这个二维码实际上被WhatsApp用于将账户连接到链接的设备或WhatsApp网页版。”
如果目标按照网站(“aerofluidthermo[.]org”)上的指示操作,这种方法将允许威胁组织未经授权地访问其WhatsApp消息,甚至通过浏览器插件将数据外泄。
建议属于“星暴”目标行业的个人在处理包含外部链接的邮件时保持警惕。
该活动“标志着‘星暴’长期以来的TTP(战术、技术和程序)的一次中断,并凸显出该威胁组织在持续进行钓鱼攻击以获取敏感信息方面的坚韧不拔,即使其行动多次遭到破坏也是如此”。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
