Star Blizzard APT IOCs

security IOC

В ноябре 2024 года, специалисты Microsoft Threat Intelligence заметили, что российский хакер Star Blizzard начал использовать новый вектор доступа, отправляя фишинговые сообщения через WhatsApp. Star Blizzard, чьи цели обычно связаны с правительством, дипломатией и исследователями оборонной политики, ранее проводил фишинговые атаки по электронной почте. Однако после раскрытия его операций и блокировки десятков связанных с ним веб-сайтов, хакер перешел на использование WhatsApp.

Star Blizzard APT

Star Blizzard отправлял электронные письма с предложением присоединиться к группе WhatsApp, посвященной поддержке неправительственных организаций Украины. В первом письме использовался поврежденный QR-код, а во втором письме содержалась безопасная ссылка для вступления в группу. При переходе по ссылке пользователя перенаправляли на веб-страницу, где было предложено отсканировать QR-код для подключения учетной записи к WhatsApp. Однако это была ловушка: злоумышленник мог получить доступ к сообщениям пользователя и экспортировать их при помощи плагинов для браузера.

Хотя кампания Star Blizzard с использованием WhatsApp была ограниченной и, возможно, уже завершилась, она еще раз подчеркнула упорство злоумышленников и их способность адаптироваться к блокировкам и препятствиям. Microsoft Threat Intelligence рекомендует пользователям быть внимательными при получении подозрительных сообщений и следовать рекомендациям по обеспечению безопасности электронной почты.

Однако важно отметить, что подобные фишинговые атаки могут быть не только отправлены через WhatsApp, но и через другие платформы. Поэтому важно обновлять программное обеспечение, использовать сильные пароли и быть осторожными при открытии подозрительных ссылок или приложений. Проактивный мониторинг и обучение сотрудников также помогут предотвратить подобные атаки.

Indicators of Compromise

Domains

  • aerofluidthermo.org
  • civilstructgeo.org
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий