Противник от руски произход е свързан с 94 нови домейна, което предполага, че групата активно променя инфраструктурата си в отговор на публично разкритите данни за дейността си.
Фирмата за киберсигурност Recorded Future свързва новата инфраструктура с участник в заплахи, когото следи под името BlueCharlie – хакерска група, която е широко известна с имената Blue Callisto, Callisto (или Calisto), COLDRIVER, Star Blizzard (по-рано SEABORGIUM) и TA446. Преди това BlueCharlie е получил временното наименование Threat Activity Group 53 (TAG-53).
„Тези промени показват, че заплахите са наясно с отчетите на индустрията и показват определено ниво на изтънченост в усилията си да замаскират или модифицират дейността си, като целят да затруднят изследователите в областта на сигурността“, заяви компанията в нов технически доклад, споделен с The Hacker News.
Според оценките BlueCharlie е свързан с руската Федерална служба за сигурност (ФСБ), като заплахата е свързана с фишинг кампании, насочени към кражба на удостоверения чрез използване на домейни, които се маскират като страници за влизане в частния сектор, лаборатории за ядрени изследвания и неправителствени организации, участващи в оказването на помощ при кризата в Украйна. Твърди се, че тя е активна поне от 2017 г. насам.
„Дейностите по събиране на Calisto вероятно допринасят за руските усилия да се наруши веригата за доставки на Киев за военни подкрепления“, отбеляза Секоя по-рано тази година. „Освен това събирането на руското разузнаване за идентифицирани доказателства, свързани с военни престъпления, вероятно се извършва, за да се предвиди и изгради контранаратив на бъдещи обвинения.“
В друг доклад, публикуван от NISOS през януари 2023 г., се посочват потенциални връзки между инфраструктурата за атаки на групата и руска компания, която сключва договори с правителствени структури в страната.
„BlueCharlie провежда постоянни кампании за фишинг и кражба на пълномощия, които допълнително позволяват прониквания и кражба на данни“, заяви Recorded Future, като добави, че заплахата провежда широкомащабно разузнаване, за да увеличи вероятността за успех на атаките си.
Последните констатации разкриват, че BlueCharlie е преминала към нов модел за именуване на своите домейни, включващ ключови думи, свързани с информационните технологии и криптовалутите, като cloudrootstorage[.]com, directexpressgateway[.]com,
storagecryptogate[.]com и pdfsecxcloudroute[.]com.
Седемдесет и осем от 94-те нови домейна се твърди, че са регистрирани чрез NameCheap. Някои от другите използвани регистратори на домейни включват Porkbun и Regway.
За да се намалят заплахите, създавани от спонсорирани от държавата групи за напреднали постоянни заплахи (APT), се препоръчва организациите да въведат устойчива на фишинг многофакторна автентикация (MFA), да деактивират макросите по подразбиране в Microsoft Office и да прилагат политика за честа промяна на паролата.
„Макар че групата използва сравнително общи техники за провеждане на атаки (като например използването на фишинг и историческото разчитане на офанзивни инструменти за сигурност с отворен код), вероятното ѝ продължаващо използване на тези методи, решителната ѝ позиция и прогресивното развитие на тактиките предполагат, че групата остава внушителна и способна“, заявиха от компанията.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.