تقوم شركة Star Blizzard الروسية بتغيير تكتيكاتها لاستغلال رموز QR الخاصة بـ WhatsApp لجمع بيانات الاعتماد
تم ربط ممثل التهديد الروسي المعروف باسم Star Blizzard بحملة تصيد احتيالي جديدة تستهدف حسابات الضحايا على تطبيق WhatsApp، مما يشير إلى خروجه عن أسلوبه التجاري القديم في محاولة محتملة للتهرب من اكتشافه.
“ترتبط أهداف Star Blizzard في الغالب بالحكومة أو الدبلوماسية (سواء شاغلي المناصب الحاليين أو السابقين)، أو السياسة الدفاعية أو الباحثين في العلاقات الدولية الذين يتطرق عملهم إلى روسيا، ومصادر المساعدة لأوكرانيا المتعلقة بالحرب مع روسيا،” Microsoft Threat وقال فريق المخابرات في أ تقرير تمت مشاركتها مع The Hacker News.
Star Blizzard (المعروفة سابقًا باسم SEABORGIUM) هي مجموعة أنشطة تهديد مرتبطة بروسيا معروف لحملات حصاد الاعتماد. نشط منذ عام 2012 على الأقل، ويتم تتبعه أيضًا تحت الألقاب Blue Callisto وBlueCharlie (أو TAG-53) وCalisto (يتم تهجئتها بالتناوب Callisto) وCOLDRIVER وDancing Salome وGossamer Bear وIron Frontier وTA446 وUNC4057.
تضمنت سلاسل الهجمات التي تمت ملاحظتها سابقًا إرسال رسائل بريد إلكتروني للتصيد الاحتيالي إلى الأهداف محل الاهتمام، عادةً من حساب Proton، وإرفاق مستندات تتضمن روابط ضارة تعيد التوجيه إلى صفحة تعمل بنظام Evilginx قادرة على جمع بيانات الاعتماد ورموز المصادقة الثنائية (2FA) عبر هجوم الخصم في الوسط (AiTM).
تم أيضًا ربط Star Blizzard باستخدام منصات التسويق عبر البريد الإلكتروني مثل HubSpot وMailerLite لإخفاء عناوين مرسل البريد الإلكتروني الحقيقية وتجنب الحاجة إلى تضمين البنية التحتية للمجال الذي يتحكم فيه الممثل في رسائل البريد الإلكتروني.
في أواخر العام الماضي، أعلنت شركة مايكروسوفت ووزارة العدل الأمريكية (DoJ) عن الاستيلاء على أكثر من 180 نطاقًا استخدمها ممثل التهديد لاستهداف الصحفيين ومراكز الأبحاث والمنظمات غير الحكومية في الفترة ما بين يناير 2023 وأغسطس 2024. .
من المحتمل أن يكون قيام عملاق التكنولوجيا بتقييم الكشف العلني عن أنشطته قد دفع طاقم القرصنة إلى تغيير تكتيكاته من خلال اختراق حسابات WhatsApp. ومع ذلك، يبدو أن الحملة كانت محدودة وانتهت في نهاية نوفمبر 2024.
وقال شيرود ديجريبو، مدير استراتيجية استخبارات التهديدات في مايكروسوفت، لصحيفة The Hacker News: “إن الأهداف تنتمي في المقام الأول إلى القطاعين الحكومي والدبلوماسي، بما في ذلك المسؤولين الحاليين والسابقين”.
“بالإضافة إلى ذلك، تشمل الأهداف الأفراد المشاركين في السياسة الدفاعية، والباحثين في العلاقات الدولية مع التركيز على روسيا، وأولئك الذين يقدمون المساعدة لأوكرانيا فيما يتعلق بالحرب مع روسيا”.
يبدأ كل شيء برسالة بريد إلكتروني للتصيد الاحتيالي يُزعم أنها مرسلة من مسؤول حكومي أمريكي لإضفاء مظهر شرعي عليها وزيادة احتمالية تعامل الضحية معهم.
تحتوي الرسالة على رمز الاستجابة السريعة (QR) الذي يحث المستلمين على الانضمام إلى مجموعة WhatsApp المفترضة حول “أحدث المبادرات غير الحكومية التي تهدف إلى دعم المنظمات غير الحكومية في أوكرانيا”. ومع ذلك، يتم كسر الرمز عمدًا لإثارة استجابة من الضحية.
في حالة رد مستلم البريد الإلكتروني، ترسل Star Blizzard رسالة ثانية تطلب منه النقر فوق[.]تم اختصار الرابط للانضمام إلى مجموعة الواتساب، مع الاعتذار عن الإزعاج.
وأوضحت مايكروسوفت أنه “عند اتباع هذا الرابط، تتم إعادة توجيه الهدف إلى صفحة ويب تطلب منهم مسح رمز الاستجابة السريعة ضوئيًا للانضمام إلى المجموعة”. “ومع ذلك، يتم استخدام رمز الاستجابة السريعة هذا فعليًا بواسطة WhatsApp لربط حساب بحساب جهاز مرتبط و/أو بوابة WhatsApp Web.”
في حالة اتباع الهدف للتعليمات الموجودة على الموقع (“aerofluidthermo[.]org”)، يسمح هذا النهج لممثل التهديد بالوصول غير المصرح به إلى رسائل WhatsApp الخاصة به وحتى استخراج البيانات عبر الوظائف الإضافية للمتصفح.
يُنصح الأفراد الذين ينتمون إلى القطاعات التي تستهدفها Star Blizzard بتوخي الحذر عندما يتعلق الأمر بالتعامل مع رسائل البريد الإلكتروني التي تحتوي على روابط لمصادر خارجية.
تمثل الحملة “كسرًا في عمليات Star Blizzard TTP طويلة الأمد وتسلط الضوء على إصرار جهة التهديد في استمرار حملات التصيد الاحتيالي للوصول إلى المعلومات الحساسة حتى في مواجهة التدهور المتكرر لعملياتها.”
إرسال التعليق