Изследователи на Microsoft са разкрили, че руски разузнавателни агенции използват тактиката spear-phishing, за да атакуват жертви с QR кодове и групови чатове в WhatsApp.
Екипът за разузнаване на заплахи в Редмънд документира откритието в четвъртък с предупреждение, че руската APT – проследена като Star Blizzard – е променила дългогодишните си spear-phishing тактики, за да се фокусира върху групите в WhatsApp.
Според Microsoft свързаните с Кремъл кибершпиони достигат до типични цели – правителствени или дипломатически фигури, изследователи в областта на отбранителната политика и организации, предлагащи помощ на Украйна – чрез имейли, които съдържат умишлено разбити QR кодове.
„Когато получателят отговори, Star Blizzard изпраща второ електронно писмо, съдържащо Safe Link wrapped t[.]ly shortened link (опакована безопасна връзка) като алтернативна връзка за присъединяване към групата в WhatsApp“, предупреждава Microsoft.
„Когато тази връзка бъде последвана, целта се пренасочва към уебстраница, в която се иска да се сканира QR код, за да се присъедини към групата“, обясняват изследователите, като отбелязват, че QR кодът всъщност се използва от WhatsApp за свързване на акаунт към свързано устройство и/или уеб портала на WhatsApp.
„Това означава, че ако целта следва инструкциите на тази страница, заплахата може да получи достъп до съобщенията в акаунта му в WhatsApp и има възможност да екфилтрира тези данни, като използва съществуващите плъгини за браузъри, които са предназначени за експортиране на съобщенията в WhatsApp от акаунт, достъпен чрез WhatsApp Web.“
Star Blizzard, проследявана и като Callisto Group, е известен колектив, за когото е известно, че се насочва към военнослужещи, държавни служители, мозъчни тръстове и журналисти в Европа и Южен Кавказ. Техният основен интерес изглежда е събирането на разузнавателна информация, свързана с външната политика и политиката на сигурност в регионите на Източна Европа и Южен Кавказ.
Microsoft отбелязва, че Star Blizzard се е доказала като устойчива на сваляния и прекъсвания. Миналата година Министерството на правосъдието на САЩ конфискува или свали повече от 180 уебсайта, свързани с групата, но това изглежда има само краткосрочно въздействие върху spear-phishing операциите на Star Blizzard.
„Оценяваме, че преминаването на заплахата към компрометиране на акаунти в WhatsApp вероятно е в отговор на разкриването на техните TTPs от Microsoft Threat Intelligence и други организации, включително национални агенции за киберсигурност“, заявиха от Microsoft.
Компанията заяви, че директно уведомява клиентите, които са били обект на посегателство или компрометирани, като им предоставя необходимата информация, за да им помогне да защитят своите среди.
Microsoft препоръчва на целевите групи да останат бдителни по отношение на неочаквани имейли, съдържащи QR кодове или външни връзки. Компанията препоръчва също така да се приложат мерки за сигурност, като например да се активира Microsoft Defender за крайни точки на мобилни устройства, да се включат безопасните връзки за Office 365 и да се проверяват подозрителните съобщения чрез познати контакти, преди да се отговори.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.