Ruski APT Star Blizzard, prema izvještaju kompanije Sekoia, početkom ove godine ciljao je francusku organizaciju za slobodu medija Reporteri bez granica (RSF).
Napad se dogodio u martu i izveden je putem fišing mejla upućenog jednom od ključnih članova RSF-a.
Star Blizzard je koristio ProtonMail adresu i lažirao kontakt kojem je žrtva vjerovala, tražeći da pregleda navodno priložen dokument. Namjerno, ruski hakeri nisu priložili dokument, već su čekali da se primalac javi i zatraži ga, navodi Sekoia.
Drugi mejl sadržao je link ka kompromitovanom sajtu koji je preusmjeravao na PDF hostovan na ProtonDrive-u. Međutim, fajl nije mogao biti preuzet jer je Proton blokirao nalog napadača.
U okviru napada na Reportere bez granica, Star Blizzard APT slao je fišing mejlove na francuskom i engleskom jeziku i koristio teme vezane za mirovne pregovore kako bi podstakao žrtvu da klikne na maliciozni link.
U drugom napadu, koji je bio usmjeren na drugu organizaciju, akter prijetnje je ZIP arhivu maskirao kao PDF i priložio je uz fišing mejl.
Datoteka je prikazivala poruku da je dokument navodno enkriptovan, navodeći žrtvu da klikne na link ka kompromitovanom sajtu koji je vodio do fišing kompleta.
Prema Sekoia-i, komplet je dizajniran da cilja ProtonMail naloge i može da presretne dvofaktorsku autentifikaciju.
Najvjerovatnije ručno izrađen, omogućava APT grupi da ubrizga maliciozni JavaScript u stranicu za prijavu, koristeći tehniku „adversary-in-the-middle“ (AiTM).
Izmijenjena stranica za prijavu unaprijed popunjava korisničko ime i drži kursor fokusiranim na polje za lozinku.
Složeniji kod ubačen u stranicu komunicira sa API-jem pod kontrolom napadača, obrađuje kredencijale i ponaša se kao posrednik između korisnika i legitimnog ProtonMail procesa autentifikacije.
Sekoia navodi da su ovi napadi nastavak Star Blizzard spear-fišing kampanja koje primjenjuju ClickFix tehniku.
„Ako ste nevladina organizacija uključena u dešavanja u Ukrajini ili pojedinac/istraživač koji posjeduje obavještajne podatke o ovom sukobu i sarađuje sa ukrajinskim institucijama, moguće je da ste meta ovog aktera prijetnje“, upozorava Sekoia.
Star Blizzard, poznat i kao UNC4057, Callisto, ColdRiver i Seaborgium, aktivan je najmanje od 2019. i cilja vladine institucije, akademske organizacije, NVO sektor i istraživačke centre.
Američka vlada je 2023. javno povezala ovu hakersku grupu sa ruskom Federalnom službom bezbjednosti (FSB). Ranije ove godine korišćeni su i LostKeys malveri u napadima na savjetnike iz oblasti odbrane i vojske, novinare, istraživačke institucije i neprofitne organizacije.
Izvor: SecurityWeek
