في أعقاب إجراء كبير ضد بنيتها التحتية المدعومة من الكرملين التهديد المستمر المتقدم حذرت شركة مايكروسوفت من أن الممثل Star Blizzard (APT) قد ركز على استغلال تطبيق المراسلة الاجتماعية WhatsApp في حملات التصيد الاحتيالي ضد أهداف تهم وكالات الاستخبارات الروسية.
كانت شركة Microsoft تلاحق Star Blizzard لبعض الوقت، وفي أواخر العام الماضي حصلت وحدة الجرائم الرقمية (DCU) التابعة لها على إذن من محكمة بالولايات المتحدة لإجراء عملية إزالة كبيرة ضد ما يقرب من 70 نطاقًا خاصًا بالمجموعة. منذ أكتوبر 2024، قامت شركة Microsoft ووزارة العدل الأمريكية (DoJ) بمصادرة أكثر من 180 موقعًا إلكترونيًا تستخدمها Star Blizzard أو حظر اتصالها بالإنترنت، مما كان له تأثير كبير على المدى القصير على قدرة APT على القيام بأعمالها الشائنة.
وقد أسفر هذا الإجراء بالفعل كنز من المعلومات للمدافعين للاختيار، ولكن وفقًا لمركز معلومات التهديدات التابع لشركة Microsoft (MSTIC) أظهرت المجموعة مرونة ملحوظة وانتقلت بسرعة إلى مجالات ومنهجية جديدة، بما في ذلك استغلال واتساب.
قال فريق MSTIC: “في منتصف نوفمبر 2024، لاحظت شركة Microsoft Threat Intelligence… قيام Star Blizzard بإرسال رسائل تصيد احتيالي لأهدافها النموذجية، مما يوفر هذه المرة فرصة مفترضة للانضمام إلى مجموعة WhatsApp”.
“هذه هي المرة الأولى التي نحدد فيها تحولًا في تكتيكات وتقنيات وإجراءات Star Blizzard طويلة الأمد (TTPs) للاستفادة من ناقل وصول جديد.
“إننا نقيم أن تحول جهة التهديد إلى اختراق حسابات WhatsApp من المحتمل أن يكون ردًا على كشف TTPs الخاصة بهم من قبل Microsoft Threat Intelligence وغيرها من المنظمات، بما في ذلك وكالات الأمن السيبراني الوطنية. وبينما يبدو أن هذه الحملة قد انتهت في نهاية نوفمبر، إلا أننا نسلط الضوء على التحول الجديد كإشارة إلى أن جهة التهديد قد تسعى إلى تغيير TTPs الخاصة بها من أجل تجنب اكتشافها.
في حملة WhatsApp، قام عملاء Star Blizzard أولاً بالاتصال بأهدافهم عبر البريد الإلكتروني لإشراكهم، تحت ستار مسؤول كبير في الحكومة الأمريكية. يحتوي هذا البريد الإلكتروني رمز الاستجابة السريعة (QR). التي يُزعم أنها توجه المستلم للانضمام إلى مجموعة WhatsApp لمناقشة عمل المنظمات غير الحكومية في أوكرانيا. ومع ذلك، في محاولة لإقناع الضحايا بالرد، كان رمز الاستجابة السريعة غير فعال عن عمد.
إذا كان الهدف سيئ الحظ فعل للرد، ردت Star Blizzard بعد ذلك برابط مختصر ومختصر يوجههم على ما يبدو إلى مجموعة WhatsApp. أدى هذا إلى إرسال الأهداف إلى صفحة ويب تحتوي على رمز QR آخر ليقوموا بمسحه ضوئيًا للانضمام إلى المجموعة.
في جزء أخير من الحيلة، لم يكن رمز الاستجابة السريعة الثاني رابطًا للمجموعة، بل استخدمه WhatsApp بدلاً من ذلك لربط حساب ببوابة WhatsApp Web، والذي يتم استخدامه بشكل شرعي لتمكين الأشخاص من الوصول إلى حساباتهم على جهاز كمبيوتر سطح المكتب بدلاً من ذلك. هواتفهم الذكية، إذا رغبوا في ذلك.
ومن خلال مسح رمز الاستجابة السريعة الثاني هذا، منح الضحايا في الواقع Star Blizzard حق الوصول الكامل إلى حسابات WhatsApp الخاصة بهم، حيث تمكن المتسللون السيبرانيون من قراءة الرسائل وتصفية البيانات باستخدام المكونات الإضافية للمتصفح.
قالت MSTIC أن الحملة كانت محدودة في نطاقها ويبدو أنها انتهت في نهاية نوفمبر 2024. ومع ذلك، قال فريق البحث، إنها تمثل انفصالًا واضحًا في أسلوب Star Blizzard التجاري، وتسلط الضوء على مثابرتها.
استهداف نموذجي
تنصح MSTIC أي شخص يعمل في القطاعات التي تستهدفها Star Blizzard عادةً بأن يكون أكثر يقظة عند التعامل مع رسائل البريد الإلكتروني غير المتوقعة أو غير المرغوب فيها من جهات اتصال موثوقة أو جديدة.
ومع ذلك، لا ينبغي أن يكون لدى المستخدمين العاديين ما يدعو للقلق من APT، لأن أهداف حملة Star Blizzard، كما هو الحال دائمًا، هي في الغالب الأفراد الذين يشغلون مناصب رفيعة المستوى في الحكومة أو المجتمع الدبلوماسي، وخبراء الدفاع والعلاقات الدولية، و”مصادر المساعدة”. ” إلى أوكرانيا.
كما كشف عنها كمبيوتر ويكلي في عام 2022، قامت Star Blizzard سابقًا باختراق واختراق وتسريب رسائل البريد الإلكتروني والمستندات التابعة لشركة رئيس سابق لجهاز MI6، إلى جانب أعضاء آخرين في شبكة يمينية سرية مكرسة للحملة من أجل خروج بريطانيا من الاتحاد الأوروبي بشكل صارم.
كشف تفريغ البيانات هذا أيضًا عن محاولات المجموعة لنشر المؤامرات حول أصول SARS-CoV2 والتأثير على سياسة حكومة المملكة المتحدة بشأن العلوم والتكنولوجيا خلال جائحة كوفيد-19.
