Ruska državna, sponzorisana hakerska grupa Star Blizzard promijenila je svoju taktiku kako bi iskoristila korisnike WhatsAppa putem malicioznim QR kodova.
Ovo označava značajnu evoluciju u kampanjama grupe za krađu identiteta, koje su istorijski ciljale vladine zvaničnike, diplomate, istraživače odbrane i organizacije povezane s Ukrajinom.
Kampanja, koju je sredinom novembra 2024. uočio Microsoft Threat Intelligence, naglašava prilagodljivost i upornost grupe u izbjegavanju otkrivanja.
Star Blizzard, poznat i kao Callisto Group ili ColdRiver, tradicionalno se oslanjao na phishing emailove da bi ukrao krednecijale i eksfiltrirao osjetljive podatke. Međutim, ova nedavna kampanja predstavlja njihovu prvu dokumentovanu upotrebu WhatsAppa kao vektora napada.
Grupa je ciljala pojedince slanjem e-mailova u kojima se lažno predstavljaju zvaničnici američke vlade i nudeći priliku da se pridruže grupi WhatsApp koja je fokusirana na podršku ukrajinskim nevladinim organizacijama.
E-poruke su sadržavale QR kod za koji se činilo da se povezuje sa grupom, ali je namjerno razbijen kako bi se primaoci naveli da odgovore za daljnja uputstva, rekao je Microsoft .
QR kod sa malicioznim vezama
Nakon što je meta odgovorila, Star Blizzard je poslao drugu e-poštu koja je sadržavala skraćenu vezu umotanu u Microsoft sigurne veze. Ovo je preusmjerilo žrtve na web stranicu koja ih je uputila da skeniraju drugi QR kod.
Umjesto pridruživanja WhatsApp grupi, skeniranje koda je omogućilo napadačima da povežu WhatsApp nalog žrtve sa svojim uređajima putem WhatsApp Weba. Ovo je omogućilo Star Blizzardu da pristupi privatnim porukama i eksfiltrira podatke pomoću dodataka za pretraživače dizajniranih za izvoz WhatsApp poruka.
Kampanja naglašava sposobnost Star Blizzarda da prilagodi svoju taktiku nakon značajnih poremećaja u svojoj infrastrukturi. U oktobru 2024. Microsoft i Ministarstvo pravde SAD-a su demontirali preko 180 domena koje je grupa koristila za phishing operacije.
Uprkos ovim zastojima, Star Blizzard je brzo prešao na nove metode, demonstrirajući svoju otpornost.
Upotreba QR kodova dodaje još jedan sloj sofisticiranosti njihovom radu. phishing QR koda (ili “quishing”) posebno je izazovno otkriti jer prikriva maliciozni URL od sigurnosnih alata e-pošte.
Ova taktika iskorištava rastuće povjerenje korisnika u QR kodove, koji su postali rasprostranjeniji tokom pandemije.
Ciljevi Star Blizzarda ostaju dosljedni njegovim prethodnim kampanjama:
- Vladini zvaničnici i diplomate
- Istraživači odbrambene politike
- NVO i think tankovi
- Pojedinci i organizacije koje pružaju pomoć Ukrajini
Grupa pomno istražuje svoje ciljeve koristeći obavještajne podatke otvorenog koda i platforme društvenih medija. Izrađuju vrlo uvjerljive mamce za krađu identiteta imitirajući povjerljive kontakte ili dobro poznate ličnosti u oblastima svojih meta.
Mjere ublažavanja
Kako bi se suprotstavio takvim prijetnjama, Microsoft Threat Intelligence preporučuje povećanu budnost među pojedincima i organizacijama u visokorizičnim sektorima. Specifične mjere uključuju:
- Provjera autentičnosti e-pošte : Uvijek potvrdite identitet pošiljaoca putem poznatih kanala prije nego što odgovorite ili kliknete na linkove.
- Izbjegavanje QR kodova u neželjenim e-porukama : Oprezno postupajte sa svim QR kodovima osim ako njihov izvor nije potvrđen.
- Implementacija višefaktorske autentifikacije otporne na krađu identiteta (MFA) : Alati poput hardverskih sigurnosnih ključeva mogu spriječiti neovlašteni pristup računu čak i ako su vjerodajnice ugrožene.
- Redovna obuka o sajber-sigurnosti : Edukacija zaposlenih o razvoju taktika phishinga može im pomoći da prepoznaju crvene zastavice.
Organizacije se također ohrabruju da implementiraju napredna rješenja za sigurnost e-pošte koja mogu otkriti sofisticirane pokušaje krađe identiteta i nadgledati neobične aktivnosti.
Izvor: CyberSecurityNew
