Microsoft Threat Intelligence varnar för hotaktören Star Blizzard som också kallas COLDRIVER och SEABORGIUM och Callisto Group. Gruppen är kopplad till Rysslands federala säkerhetstjänst (FSB). Deras fortsatta aktiviteter omfattar stöld av email inloggningsuppgifter och de har förbättrade förmågor att undvika bli upptäckta. Den här artikeln går in på djupet av Colddrivers verksamhet, hur de utnyttjar sårbarheter och deras potentiella mål. Vi utforskar de specifika metoderna de använder för att utföra sina attacker och effekterna de har på global nivå.
Kännetecken hos hotaktören Colddriver och metoder de använder
För att vinna målens förtroende använder COLDRIVER ofta bedrägerikonton, där de låtsas vara expert inom ett specifikt område eller på något sätt associerade med målet. Bedrägerikontot används sedan för att etablera en relation med målet, vilket ökar sannolikheten för framgång för fiskekampanjen, och sänder till slut en fiskelänk eller ett dokument som innehåller en länk.
Metoden de använder är framförallt spear-phising kampanjer där de riktar in sig mot en specifik person. Microsoft sa att de observerade att de använde serverskript för att förhindra automatisk skanning av den aktörkontrollerade infrastrukturen från och med april 2023, och flyttade bort från hCaptcha för att bestämma intressanta mål och omdirigera webbläsarsessionen till Evilginx-servern.
Serversidans JavaScript-kod är utformad för att kontrollera om webbläsaren har några plugins installerade, om sidan nås av ett automationsverktyg som Selenium eller PhantomJS, och överföra resultaten till servern i form av en HTTP POST-begäran.
Utökning med Malware
För att öka förståelsen för COLDRIVER:s aktiviteter i samhället, har Googles Threat Analysis Group (TAG) publicerat att gruppen fått utökade kapaciteter genom användning av malware med skadlig kod. Ofta använder de PDF-dokument som lock dokument.
Sedan november 2022 har TAG observerat att COLDRIVER skickar mål ofarliga PDF-dokument från bedrägerikonton. COLDRIVER presenterar dessa dokument som en ny debattartikel eller någon annan typ av artikel som bedrägerikontot vill publicera och ber om feedback från målet. När användaren öppnar det ofarliga PDF-dokumentet verkar texten vara krypterad.
Om målet svarar att de inte kan läsa det krypterade dokumentet, svarar COLDRIVER:s bedrägerikonto med en länk, vanligtvis på en molnlagringssida, till ett ”dekrypterings” verktyg för målet att använda. Detta dekrypteringsverktyg, som också visar ett lockdokument, är en bakdörr, spårad som SPICA, som ger COLDRIVER tillgång till offrets maskin.
Metoder och mål för Colddrivers attacker och profiler de riktar in sig mot
De riktar sig mot mål som ligger i linje med ryska statliga intressen som individer och organisationer som är involverade i internationella frågor, försvar och logistikstöd till Ukraina samt universitet, säkerhetsföretag. Microsoft fortsätter att utveckla skydd mot deras spear-phising taktier.
I augusti 2023 avslöjade Recorded Future 94 nya domäner som är en del av hotaktörens attackinfrastruktur, varav de flesta innehåller nyckelord relaterade till informationsteknik och kryptovaluta.
COLDRIVER:s målgrupp som man riktar sig mot är av högprofilerade individer i NGO:er, akademiska grupper, tidigare underrättelse- och militärtjänstemän samt NATO-länder.
Microsoft har identifierat fem nya tekniker från Colddriver
- Användning av serverskript för att förhindra automatisk skanning av aktörkontrollerad infrastruktur.
- Användning av tjänster för e-postmarknadsföringsplattformar för att dölja de verkliga e-postavsändarnas adresser och eliminera behovet av att inkludera aktörkontrollerad domäninfrastruktur i e-postmeddelanden.
- Användning av en DNS-leverantör för att dölja IP-adresserna för aktörkontrollerad infrastruktur för virtuella privata servrar (VPS). När de blev medvetna vidtog DNS-leverantören åtgärder för att motverka missbruk av deras tjänst från aktörkontrollerade domäner.
- Lösenordsskyddade PDF-lockbeten eller länkar till molnbaserade fildelningsplattformar där PDF-lockbeten är värdar. Övergång till en mer slumpmässig domängenereringsalgoritm (DGA) för aktörregistrerade domäner.
Källor:
- https://www.microsoft.com/en-us/security/blog/2023/12/07/star-blizzard-increases-sophistication-and-evasion-in-ongoing-attacks/
- https://thehackernews.com/2023/12/microsoft-warns-of-coldrivers-evolving.html
- https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/russian-fsb-cyber-actor-star-blizzard-continues-worldwide-spear-phishing-campaigns
