Обнаружение фишинг-атаки Star Blizzard
- Группа Star Blizzard замечена в проведении целевой фишинг-атаки
- Цель – учетные записи WhatsApp дипломатов и госслужащих, участвующих в конфликте между Украиной и Россией
- Атака использует QR-коды
Описание киберкампании
Российская государственная хакерская группа Star Blizzard была замечена в реализации уникальной киберкампании, направленной на поддержку военных действий против Украины. Согласно исследованию Microsoft Threat Intelligence, группа занялась фишингом учетных записей WhatsApp, принадлежащих дипломатам, государственным служащим, исследователям в области оборонной политики и международных отношений, а также другим, связанным с конфликтом лицам.
Предполагается, что кампания началась в середине ноября 2024 года. Microsoft подчеркнула важность бдительности при обработке электронной почты, особенно с внешними ссылками.
Эксплуатация данных WhatsApp
Атака начинается с электронного письма, поддельно представляющего официального американского чиновника. В письме обсуждаются последние инициативы НКО в поддержку Украины, а также представлен QR-код для доступа к частной группе на WhatsApp.
Исследователи установили, что QR-код не действителен, предполагая, что это может быть намеренным шагом, чтобы заставить жертву запросить новый код. Последующее письмо содержит сокращенную ссылку, ведущую на сайт с действительным QR-кодом, который связывает WhatsApp-аккаунт жертвы с устройством, принадлежащим злоумышленникам.
«Если цель следует инструкциям на этом сайте, злоумышленник может получить доступ к сообщениям в WhatsApp-аккаунте жертвы и извлечь их с помощью существующих браузерных плагинов, созданных для экспорта сообщений из WhatsApp Web,” объясняют исследователи из Microsoft.
Новая тактика Star Blizzard
Исследователи отмечают, что данный вектор атаки относительно новый, и делают предположение, что Star Blizzard была вынуждена адаптироваться после тщательного анализа её действий сообществом кибербезопасности. «Это первый случай, когда мы фиксируем смену тактики, техники и процедур (ТТР) группы Star Blizzard, использующих новый вектор доступа,” заключили в Microsoft.
Источник: TechRadar
