Star Blizzard Threat Actor: una forza di spionaggio informatico persistente

WhatsApp Hoax

Un'altra tattica in una campagna informatica in corso

Mentre il panorama delle minacce informatiche continua a evolversi, un nome che compare frequentemente nelle discussioni sulle attività informatiche guidate dallo spionaggio è Star Blizzard. Questo attore della minaccia, che si ritiene sia collegato alle operazioni russe, si è storicamente concentrato sulla raccolta di credenziali. Di recente, tuttavia, c'è stato un cambiamento nei suoi metodi, con un'altra campagna che ha preso di mira gli account WhatsApp tramite sofisticate tecniche di spear-phishing. Questo adattamento suggerisce uno sforzo per evitare il rilevamento e mantenere l'accesso a informazioni sensibili.

Gli obiettivi dietro le operazioni di Star Blizzard

Star Blizzard, precedentemente nota con diversi alias come SEABORGIUM e BlueCharlie, è attiva da oltre un decennio. I suoi obiettivi principali sono individui e organizzazioni impegnati nel governo, nella diplomazia, nella politica di difesa e nelle relazioni internazionali, in particolare quelli focalizzati sugli affari russi e sugli sforzi di assistenza correlati all'Ucraina. Anche ricercatori, giornalisti e ONG sono stati tra coloro che sono stati colpiti dalle sue attività.

L'obiettivo finale di questo gruppo è infiltrarsi nelle comunicazioni, estrarre dati sensibili e ottenere informazioni strategiche. Compromettendo le credenziali e intercettando le conversazioni, Star Blizzard mira a mantenere un accesso persistente ai suoi obiettivi, consentendo un'ulteriore raccolta di dati e potenziali operazioni di influenza.

Come opera l'attore della minaccia

Le campagne precedenti di Star Blizzard ruotavano in gran parte attorno a e-mail di spear-phishing progettate per ingannare i destinatari e indurli a rivelare le credenziali di accesso. In genere, queste e-mail provenivano da account registrati su servizi di posta elettronica sicuri come ProtonMail. I messaggi includevano link che portavano a pagine ingannevoli create utilizzando tattiche Adversary-in-the-Middle (AiTM), consentendo agli aggressori di intercettare i dettagli di accesso e i codici di autenticazione a due fattori (2FA).

In attacchi passati, Star Blizzard ha sfruttato anche servizi legittimi di email marketing come HubSpot e MailerLite per mascherare le identità dei mittenti e bypassare i filtri di sicurezza. Questo approccio ha consentito loro di recapitare messaggi ingannevoli senza fare affidamento su domini direttamente collegati all'operazione.

Una grande interruzione di questi sforzi si è verificata quando Microsoft e il Dipartimento di Giustizia degli Stati Uniti hanno preso provvedimenti per sequestrare oltre 180 domini associati all'attore della minaccia. Questi domini erano stati utilizzati per facilitare attacchi contro obiettivi di alto profilo da gennaio 2023 ad agosto 2024. Tuttavia, questa interruzione non ha segnato la fine delle attività di Star Blizzard; al contrario, ha spinto il gruppo a perfezionare le sue tattiche.

Il passaggio allo sfruttamento di WhatsApp

Verso la fine del 2024, i report indicavano che Star Blizzard aveva ampliato le sue tecniche per includere il dirottamento degli account WhatsApp. Ciò ha segnato un distacco significativo dai suoi metodi precedenti e ha sottolineato l'adattabilità del gruppo.

La campagna è iniziata con e-mail di phishing mascherate da comunicazioni di funzionari del governo degli Stati Uniti. Queste e-mail contenevano codici QR che sostenevano di invitare i destinatari a un gruppo WhatsApp dedicato al supporto di iniziative umanitarie. I codici QR sono stati deliberatamente violati, spingendo i destinatari a rispondere all'e-mail per chiedere assistenza.

Una volta che il destinatario ha risposto, ha ricevuto un messaggio secondario che lo indirizzava a un link abbreviato. Cliccando su questo link, è stato indirizzato a una pagina web che mostrava un codice QR progettato per collegare gli account WhatsApp a dispositivi aggiuntivi. Scansionando questo codice, le vittime hanno inconsapevolmente concesso a Star Blizzard un accesso non autorizzato ai propri account WhatsApp, esponendo potenzialmente conversazioni private e informazioni sensibili.

Le implicazioni delle attività di Star Blizzard

Le tattiche in evoluzione di Star Blizzard evidenziano la minaccia persistente rappresentata dai gruppi di spionaggio informatico. Il targeting di entità governative e diplomatiche indica uno sforzo continuo per raccogliere informazioni che potrebbero essere sfruttate per scopi geopolitici. Inoltre, l'uso di WhatsApp come vettore di attacco solleva preoccupazioni sulla sicurezza delle piattaforme di comunicazione ampiamente utilizzate da professionisti e organizzazioni.

Sebbene questa particolare campagna sembrasse concludersi entro la fine di novembre 2024, il cambio di strategia dimostra l'adattabilità del gruppo. La capacità di passare a nuovi metodi quando le operazioni esistenti vengono interrotte garantisce che Star Blizzard rimanga una formidabile minaccia informatica.

Rafforzare le difese contro gli attacchi mirati

Si consiglia a chi opera in settori frequentemente presi di mira da Star Blizzard di rimanere vigili. Riconoscere i tratti distintivi delle e-mail di spear-phishing, verificare le comunicazioni inaspettate ed evitare interazioni con codici QR indesiderati o link abbreviati può aiutare a ridurre l'esposizione a tali minacce.

I professionisti della sicurezza raccomandano inoltre di abilitare l'autenticazione multilivello ove possibile, in particolare per gli account che gestiscono comunicazioni sensibili. Mentre gli attori delle minacce affinano le loro tecniche, le misure proattive rimangono essenziali per salvaguardare le risorse digitali e le comunicazioni da accessi non autorizzati.

Considerazioni finali

Le attività in corso di Star Blizzard ci ricordano la natura in evoluzione delle minacce informatiche. La capacità del gruppo di cambiare tattica in risposta alle interruzioni sottolinea l'importanza di una vigilanza continua e di strategie di sicurezza adattive. Mentre le forze dell'ordine e le aziende di sicurezza informatica lavorano per mitigare tali minacce, le organizzazioni e gli individui devono rimanere proattivi nell'identificare e contrastare sofisticate campagne di spionaggio informatico.

Entro il Willa
January 17, 2025
Android Malware, Phishing
Italiano
January 17, 2025
Android Malware, Phishing

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.