El actor de amenazas conocido como COLDRIVER ha seguido participando en actividades de robo de credenciales contra entidades que son de interés estratégico para Rusia y, al mismo tiempo, ha mejorado sus capacidades de evasión de detección.
El equipo de Microsoft Threat Intelligence está rastreando el clúster como Ventisca estelar (anteriormente SEABORGIUM). También se llama Blue Callisto, BlueCharlie (o TAG-53), Calisto (alternativamente escrito Callisto) y TA446.
El adversario «continúa atacando prolíficamente a personas y organizaciones involucradas en asuntos internacionales, defensa y apoyo logístico a Ucrania, así como al mundo académico, empresas de seguridad de la información y otras entidades alineadas con los intereses estatales rusos», dijo Redmond. dicho.
Star Blizzard, vinculada al Servicio Federal de Seguridad (FSB) de Rusia, tiene un historial de creación de dominios similares que se hacen pasar por las páginas de inicio de sesión de empresas específicas. Se sabe que está activo desde al menos 2017.
Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana
¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.
En agosto de 2023, Recorded Future reveló 94 nuevos dominios que forman parte de la infraestructura de ataque del actor de amenazas, la mayoría de los cuales presentan palabras clave relacionadas con la tecnología de la información y las criptomonedas.
Microsoft dijo que observó al adversario aprovechando scripts del lado del servidor para evitar el escaneo automatizado de la infraestructura controlada por el actor a partir de abril de 2023, alejándose de hCaptcha para determinar objetivos de interés y redirigiendo la sesión de navegación al servidor Evilginx.
El código JavaScript del lado del servidor está diseñado para verificar si el navegador tiene algún complemento instalado, si se accede a la página mediante una herramienta de automatización como Selenium o PhantomJS, y transmitir los resultados al servidor en forma de una solicitud HTTP POST.
«Después de la solicitud POST, el servidor redirector evalúa los datos recopilados del navegador y decide si permite la redirección continua del navegador», dijo Microsoft.
«Cuando se llega a un buen veredicto, el navegador recibe una respuesta del servidor de redirección, redirigiendo a la siguiente etapa de la cadena, que es un hCaptcha para que el usuario lo resuelva o directamente al servidor Evilginx».
Star Blizzard también utiliza recientemente servicios de marketing por correo electrónico como HubSpot y MailerLite para crear campañas que sirvan como punto de partida de la cadena de redireccionamiento que culmina en el servidor Evilginx que aloja la página de recolección de credenciales.
Además, se ha observado que el actor de amenazas utiliza un proveedor de servicios de nombres de dominio (DNS) para resolver la infraestructura de dominio registrada del actor, enviando señuelos PDF protegidos con contraseña que incrustan los enlaces para evadir los procesos de seguridad del correo electrónico y alojar los archivos en Proton Drive.
Eso no es todo. En una señal de que el actor de amenazas está controlando activamente los informes públicos sobre sus tácticas y técnicas, ahora ha actualizado su algoritmo de generación de dominios (DGA) para incluir una lista más aleatoria de palabras al nombrarlas.
A pesar de estos cambios, «las actividades de Star Blizzard siguen centradas en el robo de credenciales de correo electrónico, principalmente dirigidas a proveedores de correo electrónico basados en la nube que alojan cuentas de correo electrónico organizacionales y/o personales», dijo Microsoft.
«Star Blizzard se mantiene constante en el uso de pares de VPS dedicados para alojar la infraestructura controlada por el actor (redirector + servidores Evilginx) utilizada para actividades de phishing, donde cada servidor generalmente aloja un dominio registrado por el actor por separado».
Reino Unido sanciona a dos miembros de Star Blizzard
El acontecimiento se produce cuando el Reino Unido denunció a Star Blizzard por «intentos sostenidos y fallidos de interferir en los procesos políticos del Reino Unido» apuntando a personas y entidades de alto perfil a través de operaciones cibernéticas.
Además de vincular Star Blizzard con el Centro 18, un elemento subordinado dentro del FSB, el gobierno del Reino Unido sancionó a dos miembros del equipo de hackers – Ruslan Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets (alias Alexey Doguzhiev) – por su participación en las campañas de phishing.
La actividad «resultó en el acceso no autorizado y la exfiltración de datos confidenciales, con el objetivo de socavar a las organizaciones del Reino Unido y, más ampliamente, al gobierno del Reino Unido», dijo.