Противник от руски произход е свързан с 94 нови домейна, което предполага, че групата активно променя инфраструктурата си в отговор на публично разкритите данни за дейността си.

Фирмата за киберсигурност Recorded Future свързва новата инфраструктура с участник в заплахи, когото следи под името BlueCharlie – хакерска група, която е широко известна с имената Blue Callisto, Callisto (или Calisto), COLDRIVER, Star Blizzard (по-рано SEABORGIUM) и TA446. Преди това BlueCharlie е получил временното наименование Threat Activity Group 53 (TAG-53).

„Тези промени показват, че  заплахите са наясно с отчетите на индустрията и показват определено ниво на изтънченост в усилията си да замаскират или модифицират дейността си, като целят да затруднят изследователите в областта на сигурността“, заяви компанията в нов технически доклад, споделен с The Hacker News.

Според оценките BlueCharlie е свързан с руската Федерална служба за сигурност (ФСБ), като  заплахата е свързана с фишинг кампании, насочени към кражба на удостоверения чрез използване на домейни, които се маскират като страници за влизане в частния сектор, лаборатории за ядрени изследвания и неправителствени организации, участващи в оказването на помощ при кризата в Украйна. Твърди се, че тя е активна поне от 2017 г. насам.

„Дейностите по събиране на Calisto вероятно допринасят за руските усилия да се наруши веригата за доставки на Киев за военни подкрепления“, отбеляза Секоя по-рано тази година. „Освен това събирането на руското разузнаване за идентифицирани доказателства, свързани с военни престъпления, вероятно се извършва, за да се предвиди и изгради контранаратив на бъдещи обвинения.“

В друг доклад, публикуван от NISOS през януари 2023 г., се посочват потенциални връзки между инфраструктурата за атаки на групата и руска компания, която сключва договори с правителствени структури в страната.

„BlueCharlie провежда постоянни кампании за фишинг и кражба на пълномощия, които допълнително позволяват прониквания и кражба на данни“, заяви Recorded Future, като добави, че заплахата провежда широкомащабно разузнаване, за да увеличи вероятността за успех на атаките си.

Последните констатации разкриват, че BlueCharlie е преминала към нов модел за именуване на своите домейни, включващ ключови думи, свързани с информационните технологии и криптовалутите, като cloudrootstorage[.]com, directexpressgateway[.]com,
storagecryptogate[.]com и pdfsecxcloudroute[.]com.

Седемдесет и осем от 94-те нови домейна се твърди, че са регистрирани чрез NameCheap. Някои от другите използвани регистратори на домейни включват Porkbun и Regway.

За да се намалят заплахите, създавани от спонсорирани от държавата групи за напреднали постоянни заплахи (APT), се препоръчва организациите да въведат устойчива на фишинг многофакторна автентикация (MFA), да деактивират макросите по подразбиране в Microsoft Office и да прилагат политика за честа промяна на паролата.

„Макар че групата използва сравнително общи техники за провеждане на атаки (като например използването на фишинг и историческото разчитане на офанзивни инструменти за сигурност с отворен код), вероятното ѝ продължаващо използване на тези методи, решителната ѝ позиция и прогресивното развитие на тактиките предполагат, че групата остава внушителна и способна“, заявиха от компанията.