暴雪明星威胁行为者：一支持久的网络间谍力量

Table of Contents

正在进行的网络攻击中的另一种策略

随着网络威胁形势的不断演变，在有关间谍活动的网络活动的讨论中，一个经常出现的名字就是 Star Blizzard。据信，这个威胁行为者与俄罗斯的行动有关，历来专注于窃取凭证。然而，最近，它的方法发生了变化，另一次活动通过复杂的鱼叉式网络钓鱼技术针对 WhatsApp 帐户。这种调整表明它试图避免被发现并保持对敏感信息的访问。

Star Blizzard 运营背后的目标

Star Blizzard 之前曾使用过 SEABORGIUM 和 BlueCharlie 等多个别名，已经活跃了十多年。其主要目标是从事政府、外交、国防政策和国际关系的个人和组织，尤其是那些关注俄罗斯事务和乌克兰相关援助工作的个人和组织。研究人员、记者和非政府组织也受到了其活动的影响。

该组织的最终目标是渗透通信、提取敏感数据并获取战略情报。通过窃取凭证和拦截对话，Star Blizzard 旨在保持对其目标的持续访问，从而实现进一步的数据收集和潜在的影响行动。

威胁行为者如何运作

Star Blizzard 早期的攻击活动主要围绕鱼叉式网络钓鱼电子邮件展开，旨在诱骗收件人泄露登录凭据。通常，这些电子邮件来自在 ProtonMail 等安全电子邮件服务上注册的账户。这些邮件包含指向使用中间人 (AiTM) 策略构建的欺骗性页面的链接，允许攻击者拦截登录详细信息和双因素身份验证 (2FA) 代码。

在过去的攻击中，Star Blizzard 还利用 HubSpot 和 MailerLite 等合法的电子邮件营销服务来掩盖发件人身份并绕过安全过滤器。这种方法使他们能够发送欺骗性消息，而无需依赖与操作直接相关的域。

当微软和美国司法部采取行动查封与该威胁行为者相关的 180 多个域名时，这些努力受到了重大干扰。这些域名曾被用于在 2023 年 1 月至 2024 年 8 月期间对知名目标发动攻击。然而，这次干扰并没有标志着 Star Blizzard 活动的结束；相反，它促使该组织改进了其策略。

转向 WhatsApp 漏洞利用

2024 年末，有报道称 Star Blizzard 已将其技术扩展到 WhatsApp 帐户劫持。这标志着该组织与之前的方法有了重大转变，并凸显了该组织的适应性。

此次攻击活动始于伪装成美国政府官员通信的网络钓鱼电子邮件。这些电子邮件包含二维码，声称邀请收件人加入一个致力于支持人道主义倡议的 WhatsApp 群组。这些二维码被故意破坏，促使收件人回复电子邮件寻求帮助。

收件人回复后，他们会收到一条辅助消息，将他们引导至一个缩短的链接。点击此链接会将他们引导至一个网页，该网页显示一个二维码，用于将 WhatsApp 帐户连接到其他设备。通过扫描此代码，受害者在不知情的情况下授予 Star Blizzard 未经授权访问其 WhatsApp 帐户的权限，从而可能暴露私人对话和敏感信息。