明星暴雪威脅演員：持久的網路間諜力量

Table of Contents

正在進行的網路活動中的另一種策略

隨著網路威脅情勢的不斷發展，在間諜驅動的網路活動的討論中經常出現的一個名字是「星際暴雪」。據信該威脅行為者與俄羅斯的行動有關，歷來專注於竊取憑證。然而，最近其方法發生了轉變，另一場活動透過複雜的魚叉式網路釣魚技術針對 WhatsApp 帳戶。這種適應表明努力避免檢測並保持對敏感資訊的存取。

星際暴雪營運背後的目標

Star Blizzard 之前以 SEABORGIUM 和 BlueCharlie 等多個別名而聞名，已經活躍了十多年。其主要目標是從事政府、外交、國防政策和國際關係的個人和組織，特別是那些關注俄羅斯事務和烏克蘭相關援助工作的個人和組織。研究人員、記者和非政府組織也受到其活動的影響。

該組織的最終目標是滲透通訊、提取敏感資料並獲取戰略情報。透過洩露憑證和攔截對話，Star Blizzard 旨在保持對其目標的持續訪問，從而實現進一步的資料收集和潛在的影響行動。

威脅行為者如何運作

Star Blizzard 早期的活動主要圍繞著魚叉式網路釣魚電子郵件，旨在誘騙收件者洩漏登入憑證。通常，這些電子郵件來自在 ProtonMail 等安全電子郵件服務上註冊的帳戶。這些訊息將包含指向使用中間對手 (AiTM) 策略建立的欺騙性頁面的鏈接，允許攻擊者攔截登入詳細資訊和雙重認證 (2FA) 代碼。

在過去的攻擊中，Star Blizzard 還利用 HubSpot 和 MailerLite 等合法電子郵件行銷服務來掩蓋寄件者身分並繞過安全過濾器。這種方法使他們能夠在不依賴與操作直接連結的網域的情況下傳遞欺騙性訊息。

當 Microsoft 和美國司法部採取行動查封與威脅行為者相關的 180 多個網域時，這些努力受到了重大破壞。從 2023 年 1 月到 2024 年 8 月，這些網域曾被用來促進針對知名目標的攻擊。相反，它促使該組織改進其策略。

向 WhatsApp 的利用轉變

2024 年底，有報稱，Star Blizzard 已將其技術擴展至包括 WhatsApp 帳號劫持。這標誌著與其先前方法的重大背離，並強調了該團隊的適應性。

這項活動始於偽裝成美國政府官員通訊的網路釣魚電子郵件。這些電子郵件包含二維碼，聲稱邀請收件者加入致力於支持人道主義倡議的 WhatsApp 群組。二維碼被故意破壞，促使收件者回覆電子郵件尋求協助。

收件人回覆後，他們會收到一條輔助訊息，將他們引導至縮短的連結。點擊此連結會將他們帶到一個網頁，其中顯示了旨在將 WhatsApp 帳戶連接到其他裝置的二維碼。透過掃描此代碼，受害者在不知不覺中授予 Star Blizzard 對其 WhatsApp 帳戶的未經授權的存取權限，從而可能洩露私人對話和敏感資訊。