Microsoft Alerta sobre as Táticas em Evolução de Evasão e Roubo de Credenciais do COLDRIVER
8 de Dezembro de 2023

O ator de ameaças conhecido como COLDRIVER continua a se envolver em atividades de roubo de credenciais contra entidades de interesse estratégico para a Rússia, ao mesmo tempo que aprimora suas capacidades de evasão de detecção.

A equipe de Inteligência de Ameaças da Microsoft está acompanhando esse grupo sob o cluster Star Blizzard (antes chamado de SEABORGIUM).

Também é conhecido como Blue Callisto, BlueCharlie (ou TAG-53), Calisto (alternativamente escrito Callisto) e TA446.

O adversário "continua a mirar de forma prolifica em indivíduos e organizações envolvidos em assuntos internacionais, defesa e apoio logístico à Ucrânia, bem como no meio acadêmico, empresas de segurança da informação e outras entidades alinhadas com os interesses do estado russo", disse Redmond.

Star Blizzard, ligada ao Serviço Federal de Segurança (FSB) da Rússia, tem um histórico de configuração de domínios semelhantes que imitam as páginas de login das empresas alvo.

Sabe-se que está ativa desde pelo menos 2017.

Em agosto de 2023, a Recorded Future revelou 94 novos domínios que fazem parte da infraestrutura de ataque do ator da ameaça, a maioria dos quais apresenta palavras-chave relacionadas à tecnologia da informação e à criptomoeda.

A Microsoft observou o adversário usando scripts do lado do servidor para evitar a varredura automatizada da infraestrutura controlada pelo ator a partir de abril de 2023, se afastando do hCaptcha para determinar alvos de interesse e redirecionando a sessão de navegação para o servidor do Evilginx.

O código JavaScript do lado do servidor foi projetado para verificar se existem plugins instalados no navegador, se a página está sendo acessada por uma ferramenta de automação como Selenium ou PhantomJS e transmitir os resultados para o servidor na forma de uma solicitação HTTP POST.

"Após a solicitação POST, o servidor redirecionador avalia os dados coletados do navegador e decide se permite a continuação do redirecionamento do navegador", disse a Microsoft.

"Quando um veredicto positivo é alcançado, o navegador recebe uma resposta do servidor de redirecionamento, redirecionando para a próxima etapa da cadeia, que é ou um hCaptcha para o usuário resolver, ou direto para o servidor Evilginx."

Novamente utilizados pelo Star Blizzard estão os serviços de email marketing como HubSpot e MailerLite para criar campanhas que servem como ponto de partida da cadeia de redirecionamento que culmina no servidor Evilginx que hospeda a página de colheita de credenciais.

Além disso, foi observado que o ator da ameaça usa um provedor de serviço de nome de domínio (DNS) para resolver a infraestrutura de domínio registrada pelo ator, enviando iscas PDF protegidas por senha e incorporando links para evadir processos de segurança de email, bem como hospedar os arquivos no Proton Drive. Mas isso não é tudo.

Em um sinal de que o ator de ameaças está ativamente monitorando relatórios públicos sobre suas táticas e técnicas, agora atualizou seu algoritmo de geração de domínio (DGA), para incluir uma lista mais aleatória de palavras ao nomeá-los.

Apesar dessas mudanças, "as atividades do Star Blizzard permanecem focadas no roubo de credenciais de e-mail, visando principalmente provedores de e-mail baseados na nuvem que hospedam contas de e-mail organizacionais e/ou pessoais", disse a Microsoft.

"O Star Blizzard permanece constante em sua utilização de pares de VPSs dedicados para hospedar infraestrutura controlada pelo ator (redirecionador + servidores Evilginx) utilizada para atividades de spear-phishing, onde cada servidor geralmente hospeda um domínio registrado separado pelo ator."

Reino Unido e Estados Unidos Sancionam Dois Membros do Star Blizzard
O desenvolvimento ocorre depois que o Reino Unido acusou o Star Blizzard por "tentativas contínuas e sem sucesso de interferir nos processos políticos do Reino Unido" ao mirar em indivíduos e entidades de alto perfil por meio de operações cibernéticas.

Além de ligar o Star Blizzard ao Centre 18, um elemento subordinado dentro do FSB, o governo do Reino Unido sancionou dois membros da equipe de hackers - Ruslan Aleksandrovich Peretyatko e Andrey Stanislavovich Korinets (também conhecido como Alexey Doguzhiev) - por seu envolvimento nas campanhas de spear-phishing.

A atividade "resultou em acesso não autorizado e exfiltração de dados sensíveis, com a intenção de minar as organizações do Reino Unido e, mais amplamente, o governo do Reino Unido", dizia.

A aliança de inteligência Five Eyes composta por Austrália, Canadá, Nova Zelândia, Reino Unido e Estados Unidos destacou ainda mais o padrão do ator de ameaça de se passar por contas de e-mail conhecidas para parecer confiável, criação de perfis de mídias sociais falsificados e criação de domínios maliciosos que se assemelham a organizações legítimas.

Os ataques de spear-phishing são precedidos por uma fase de pesquisa e preparação para conduzir o reconhecimento de seus alvos, antes de abordá-los por meio de seus endereços de e-mail pessoais, numa provável tentativa de contornar controles de segurança nas redes corporativas e construir afinidade na esperança de entregar links que imitam a página de login de um serviço legítimo.

"O endereço do remetente pode ser de qualquer provedor de e-mail gratuito, mas uma atenção especial deve ser dada aos e-mails recebidos de senders de contas Proton (@proton.me, @protonmail.com), pois são frequentemente usados pelo Star Blizzard", disse a Microsoft.

As credenciais inseridas pelos alvos nessas páginas são então capturadas e usadas para acessar os e-mails das vítimas e anexos, para não mencionar sua lista de contatos, que são posteriormente usados para atividades de phishing subsequentes através das contas comprometidas.

Em uma acusação recém-revelada contra Peretyatko e Korinets, o Departamento de Justiça dos EUA (DoJ) disse que os acusados usaram contas de email falsificadas para enviar mensagens que supostamente vinham de provedores de email, sugerindo que os destinatários haviam violado termos de serviço, mas, na realidade, foram projetadas para enganá-los a fornecer suas credenciais de conta de email para prompts de login falsos.

O Departamento do Tesouro dos EUA, através do Escritório de Controle de Ativos Estrangeiros (OFAC), implicou diretamente o FSB em operações de invasão e vazamento de longa duração, com o objetivo de moldar narrativas em países alvo e avançar nos interesses estratégicos da Rússia.

Korinets foi também acusado de configurar pelo menos 39 domínios falsos de colheita de credenciais para campanhas de phishing entre 2016 e 2020.

Peretyatko é alegado ter usado um email fraudulento em 2017 para enviar e-mails de phishing que redirecionam as vítimas para um domínio malicioso criado por Korinets.

"Peretyatko e outros oficiais do FSB responsáveis pelas campanhas de spear phishing têm pesquisado novas ferramentas que suportem suas atividades maliciosas cibernéticas", disse o Departamento do Tesouro.

"Dentro dessas ferramentas, está incluso um malware que permite a evasão da autenticação de dois fatores, outro que permite o controle de um dispositivo com risco limitado de detecção e outro que possibilita o acesso a caixas de correio na web."

As sanções à parte, o Departamento de Estado dos EUA também anunciou uma recompensa de US$ 10 milhões por qualquer informação que leve à identificação dos membros do Star Blizzard e suas atividades, como parte de seu programa de Recompensas por Justiça (RFJ).

Em resposta ao bloqueio das sanções, a Embaixada da Rússia no Reino Unido o caracterizou como uma "medida inútil" e "mais um ato de drama mal encenado", com o presidente Vladimir Putin declarando "elites ocidentais usam sanções, provocando conflitos em macro-regiões inteiras numa tentativa de manter sua dominação escorregadia."

(A história foi atualizada após a publicação para incluir informações sobre acusações e sanções emitidas pelos EUA contra os dois membros do Star Blizzard.)

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...