Kremlin’in sponsorluğundaki gelişmiş kalıcı tehdit (APT) aktörü, çok sayıda açığa çıkma ve aksaklıktan sonra, kaçınma tekniklerini bir kez daha geliştirdi. Ancak bu hamle de bu hafta Microsoft tarafından ifşa edildi.
“Star Blizzard” (diğer adıyla Seaborgium, BlueCharlie, Callisto Group ve Coldriver), en az 2017’den bu yana siber casusluk ve siber etki kampanyaları amacıyla e-posta kimlik bilgileri hırsızlığı gerçekleştiriyor. Tarihsel olarak amacını NATO’daki kamu ve özel kuruluşlara odakladı. üye ülkeler, genellikle siyaset, savunma ve ilgili sektörlerle ilgili alanlarda (STK’lar, düşünce kuruluşları, gazeteciler, akademik kurumlar, hükümetlerarası kuruluşlar vb.). Son yıllarda özellikle Ukrayna’ya destek sağlayan kişi ve kuruluşları hedef aldı.
Ancak her başarılı ihlalin yanı sıra Star Blizzard, OpSec başarısızlıklarıyla da tanınır. Microsoft Ağustos 2022’de grubu bozdu ve o zamandan bu yana Recorded Future bunu çok incelikli bir şekilde takip etmedi yeni altyapıya geçmeye çalıştı. Perşembe günü Microsoft rapor vermek için geri döndü kaçınmaya yönelik son çabaları. Bu çabalar, en önemlisi e-posta pazarlama platformlarının silah haline getirilmesi olmak üzere beş temel yeni hileyi içeriyor.
Microsoft bu makale için yorum yapmayı reddetti.
Star Blizzard’ın En Yeni TTP’leri
Star Blizzard, e-posta filtrelerini gizlice aşmaya yardımcı olmak için parola korumalı PDF yem belgeleri veya içinde korumalı PDF’lerin bulunduğu bulut tabanlı dosya paylaşım platformlarına bağlantılar kullanmaya başladı. Bu belgelerin şifreleri genellikle aynı kimlik avı e-postasında veya ilkinden kısa bir süre sonra gönderilen bir e-postada paketlenir.
Potansiyel insan analizi için küçük engeller olarak Star Blizzard, ters proxy olarak bir alan adı hizmeti (DNS) sağlayıcısı kullanmaya başladı – sanal özel sunucularıyla (VPS’ler) ilişkili IP adreslerini gizleyerek – ve otomatikleştirilmiş verileri engellemeyi amaçlayan sunucu tarafı JavaScript parçacıklarını gizledi altyapısının taranması.
Ayrıca, etki alanlarındaki kalıpları tespit etmeyi daha zahmetli hale getirmek için daha rastgele bir etki alanı oluşturma algoritması (DGA) kullanıyor. Ancak Microsoft’un belirttiği gibi, Star Blizzard alan adları hala belirli tanımlayıcı özellikleri paylaşıyor: genellikle benzer adlandırma kurallarını kullanan gruplar halinde Namecheap’e kayıtlılar ve Let’s Encrypt’ten TLS sertifikalarına sahipler.
Star Blizzard, küçük hilelerinin yanı sıra, kimlik avı maceralarını yönetmek için e-posta pazarlama hizmetleri Mailerlite ve HubSpot’u da kullanmaya başladı.
Kimlik Avı için E-posta Pazarlamayı Kullanma
Microsoft’un blogunda açıkladığı gibi, “aktör bu hizmetleri bir e-posta kampanyası oluşturmak için kullanıyor; bu da onlara hizmet üzerinde özel bir alt alan adı sağlıyor ve bu alt alan adı daha sonra URL’ler oluşturmak için kullanılıyor. Bu URL’ler, şu adreste biten bir yeniden yönlendirme zincirinin giriş noktası olarak görev yapıyor: aktör kontrollü Evilginx sunucu altyapısı. Hizmetler ayrıca kullanıcıya, yapılandırılmış e-posta kampanyası başına özel bir e-posta adresi sağlayabilir; tehdit aktörünün kampanyalarında ‘Gönderen’ adresi olarak kullandığı görüldü.”
Bazen bilgisayar korsanları, kötü amaçlı sunucularına yönlendirmek için kullandıkları e-posta pazarlama URL’lerini şifre korumalı PDF’lerinin içine yerleştirerek farklı taktikler kullanırlar. Bu kombinasyon, e-postalara kendi etki alanı altyapısını dahil etme ihtiyacını ortadan kaldırır.
Recorded Future Insikt Group tehdit istihbaratı analisti Zoey Selman şöyle açıklıyor: “HubSpot, MailerLite gibi bulut tabanlı platformları ve otomatik taramayı önlemek için sunucu tarafı komut dosyalarıyla birlikte çalışan sanal özel sunucuları (VPS) kullanmaları ilginç bir yaklaşımdır.” BlueCharlie’nin yalnızca gereksinimler karşılandığında kurbanı tehdit aktörü altyapısına yönlendirmek için izin parametrelerini ayarlamasına olanak tanır.”
Son zamanlarda araştırmacılar, grubun, ABD hibe yönetimi portalı için kimlik bilgileri elde etmek amacıyla ortak bir tuzak kullanarak düşünce kuruluşlarını ve araştırma kuruluşlarını hedef almak için e-posta pazarlama hizmetlerini kullandığını gözlemledi.
Selman, grubun yakın zamanda başka başarılar da elde ettiğini belirtiyor: “En önemlisi, nüfuz operasyonlarında kullanılan kimlik bilgileri toplama ve hack-and-sızdırma operasyonlarında Birleşik Krallık hükümet yetkililerine karşı, örneğin eski Birleşik Krallık MI6 şefi Richard Dearlove, İngiliz Parlamenter Stewart McDonald, en azından ABD’nin en yüksek profilli ulusal nükleer laboratuvarlarından bazılarının çalışanlarını hedef almaya çalıştığı biliniyor.”
