L’acteur malveillant connu sous le nom de COLDRIVER a continué à se livrer à des activités de vol d’informations d’identification contre des entités présentant des intérêts stratégiques pour la Russie, tout en améliorant simultanément ses capacités d’évasion de détection.
L’équipe Microsoft Threat Intelligence effectue le suivi sous le cluster comme Étoile Blizzard (anciennement SEABORGIUM). Il est également appelé Blue Callisto, BlueCharlie (ou TAG-53), Calisto (alternativement orthographié Callisto) et TA446.
L’adversaire « continue de cibler de manière prolifique les individus et les organisations impliqués dans les affaires internationales, la défense et le soutien logistique à l’Ukraine, ainsi que les universités, les sociétés de sécurité de l’information et d’autres entités alignées sur les intérêts de l’État russe », a déclaré Redmond. dit.
Star Blizzard, lié au Service fédéral de sécurité russe (FSB), a l’habitude de créer des domaines similaires qui usurpent l’identité des pages de connexion d’entreprises ciblées. On sait qu’il est actif depuis au moins 2017.
Déchiffrer le code : découvrez comment les cyberattaquants exploitent la psychologie humaine
Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez en profondeur dans la psychologie des cyberattaquants dans notre prochain webinaire.
En août 2023, Recorded Future a révélé 94 nouveaux domaines faisant partie de l’infrastructure d’attaque de l’acteur menaçant, dont la plupart comportent des mots-clés liés aux technologies de l’information et à la crypto-monnaie.
Microsoft a déclaré avoir observé l’adversaire exploiter des scripts côté serveur pour empêcher l’analyse automatisée de l’infrastructure contrôlée par les acteurs à partir d’avril 2023, s’éloignant de hCaptcha pour déterminer les cibles d’intérêt et redirigeant la session de navigation vers le serveur Evilginx.
Le code JavaScript côté serveur est conçu pour vérifier si des plugins sont installés sur le navigateur, si la page est accédée par un outil d’automatisation comme Selenium ou PhantomJS, et transmettre les résultats au serveur sous la forme d’une requête HTTP POST.
« Suite à la requête POST, le serveur de redirection évalue les données collectées par le navigateur et décide s’il autorise ou non la redirection continue du navigateur », a déclaré Microsoft.
« Lorsqu’un bon verdict est atteint, le navigateur reçoit une réponse du serveur de redirection, redirigeant vers l’étape suivante de la chaîne, qui est soit un hCaptcha à résoudre par l’utilisateur, soit directement vers le serveur Evilginx. »
Star Blizzard a également récemment utilisé des services de marketing par courrier électronique tels que HubSpot et MailerLite pour créer des campagnes qui servent de point de départ à la chaîne de redirection qui culmine sur le serveur Evilginx hébergeant la page de collecte d’informations d’identification.
En outre, l’acteur malveillant a été observé utilisant un fournisseur de service de nom de domaine (DNS) pour résoudre l’infrastructure de domaine enregistrée par l’acteur, envoyant des leurres PDF protégés par mot de passe intégrant les liens pour échapper aux processus de sécurité du courrier électronique et hébergeant les fichiers sur Proton Drive.
Ce n’est pas tout. Signe que l’acteur menaçant surveille activement les rapports publics dans ses tactiques et techniques, il a maintenant mis à niveau son algorithme de génération de domaine (DGA) pour inclure une liste de mots plus aléatoire lors de leur nomination.
Malgré ces changements, « les activités de Star Blizzard restent concentrées sur le vol d’identifiants de messagerie, ciblant principalement les fournisseurs de messagerie basés sur le cloud qui hébergent des comptes de messagerie organisationnels et/ou personnels », a déclaré Microsoft.
« Star Blizzard reste constant dans son utilisation de paires de VPS dédiés pour héberger une infrastructure contrôlée par des acteurs (redirecteur + serveurs Evilginx) utilisée pour les activités de spear phishing, où chaque serveur héberge généralement un domaine enregistré par un acteur distinct. »
Le Royaume-Uni sanctionne deux membres de Star Blizzard
Cette évolution intervient alors que le Royaume-Uni a dénoncé Star Blizzard pour ses « tentatives infructueuses et soutenues d’ingérence dans les processus politiques britanniques » en ciblant des individus et des entités de haut niveau par le biais de cyberopérations.
En plus de relier Star Blizzard au Centre 18, un élément subordonné au sein du FSB, le gouvernement britannique sanctionné deux membres de l’équipe de hackers – Ruslan Aleksandrovich Peretyatko et Andrey Stanislavovich Korinets (alias Alexey Doguzhiev) – pour leur implication dans les campagnes de spear phishing.
Cette activité « a entraîné un accès non autorisé et une exfiltration de données sensibles, dans le but de porter atteinte aux organisations britanniques et, plus largement, au gouvernement britannique », a-t-il déclaré.