A raíz de una acción significativa contra su infraestructura, el actor de amenazas persistentes avanzadas (APT, por sus siglas en inglés) respaldado por el Kremlin, Star Blizzard, ha recurrido a explotar la aplicación de mensajería social WhatsApp en sus campañas de phishing contra objetivos de interés para las agencias de inteligencia rusas, advirtió Microsoft. .
Microsoft ha estado pisándole los talones a Star Blizzard durante algún tiempo, y a finales del año pasado su Unidad de Delitos Digitales (DCU) recibió permiso de un tribunal de Estados Unidos para llevar a cabo una importante operación de eliminación contra casi 70 de los dominios del grupo. Desde octubre de 2024, Microsoft y el Departamento de Justicia de EE. UU. (DoJ) han incautado o desconectado más de 180 sitios web utilizados por Star Blizzard, lo que ha tenido un efecto significativo a corto plazo en la capacidad de la APT para llevar a cabo su nefasto negocio.
Esta acción ya ha generado un tesoro de información para que los defensores la recojan, pero según el Centro de inteligencia de amenazas de Microsoft (MSTIC), el grupo ha demostrado una resiliencia notable y ha hecho una rápida transición a nuevos dominios y metodologías, incluida la explotación de WhatsApp.
“A mediados de noviembre de 2024, Microsoft Threat Intelligence observó… Star Blizzard enviando a sus objetivos típicos mensajes de phishing, esta vez ofreciendo la supuesta oportunidad de unirse a un grupo de WhatsApp”, dijo el equipo de MSTIC.
“Esta es la primera vez que identificamos un cambio en las tácticas, técnicas y procedimientos (TTP) de larga data de Star Blizzard para aprovechar un nuevo vector de acceso.
“Evaluamos que el cambio del actor de amenazas para comprometer las cuentas de WhatsApp probablemente sea en respuesta a la exposición de sus TTP por parte de Microsoft Threat Intelligence y otras organizaciones, incluidas las agencias nacionales de ciberseguridad. Si bien esta campaña parece haber terminado a finales de noviembre, destacamos el nuevo cambio como una señal de que el actor de amenazas podría estar buscando cambiar sus TTP para evadir la detección”, dijeron.
En la campaña de WhatsApp, los agentes de Star Blizzard primero se pusieron en contacto con sus objetivos por correo electrónico para interactuar con ellos, disfrazados de un alto funcionario del gobierno de Estados Unidos. Este correo electrónico contenía un código de respuesta rápida (QR) que pretendía dirigir al destinatario a unirse a un grupo de WhatsApp para discutir el trabajo de las organizaciones no gubernamentales (ONG) en Ucrania. Sin embargo, en un intento de convencer a sus víctimas para que respondieran, el código QR no funcionaba intencionalmente.
Si el desafortunado objetivo hizo En respuesta, Star Blizzard respondió con un enlace envuelto y abreviado que aparentemente los dirigía al grupo de WhatsApp. Esto envió a los objetivos a una página web que contenía otro código QR para que lo escanearan y se unieran al grupo.
En un último subterfugio, este segundo código QR no era un enlace al grupo, sino que WhatsApp lo usaba para conectar una cuenta al portal web de WhatsApp, que se usa legítimamente para permitir que las personas accedan a sus cuentas en una PC de escritorio en lugar de hacerlo. su teléfono inteligente, si así lo desean.
Al escanear este segundo QR, las víctimas de hecho dieron a Star Blizzard acceso completo a sus cuentas de WhatsApp, desde donde los ciberdelincuentes pudieron leer mensajes y extraer datos utilizando complementos del navegador.
MSTIC dijo que la campaña tenía un alcance limitado y parece haber terminado a fines de noviembre de 2024. Sin embargo, dijo el equipo de investigación, marca una clara ruptura en el oficio de Star Blizzard y resalta su tenacidad.
Orientación típica
MSTIC recomienda a cualquiera que trabaje en sectores a los que Star Blizzard normalmente apunta que esté más atento al tratar con correos electrónicos inesperados o no solicitados de contactos nuevos o de confianza.
Sin embargo, los usuarios comunes y corrientes no deberían tener mucho de qué preocuparse por parte de la APT ya que, como siempre, los objetivos de la campaña de Star Blizzard son por lo general personas que ocupan puestos de alto nivel en el gobierno o la comunidad diplomática, expertos en defensa y relaciones internacionales, y “fuentes de asistencia”. ”a Ucrania.
Como lo expuso Computer Weekly en 2022, Star Blizzard previamente pirateó, comprometió y filtró correos electrónicos y documentos pertenecientes a un exjefe del MI6, junto con otros miembros de una red secreta de derecha dedicada a hacer campaña por un Brexit extremadamente duro.
Este volcado de datos también expuso los intentos del grupo de difundir conspiraciones sobre los orígenes del SARS-CoV2 e influir en la política del gobierno del Reino Unido en materia de ciencia y tecnología durante la pandemia de Covid-19.