Microsoft-Warnung: COLDRIVER Credential-Diebstahl nimmt wieder zu
In einer kürzlich veröffentlichten Microsoft-Sicherheitswarnunghat der berüchtigte Bedrohungsakteur, der als COLDRIVER bekannt ist, seine Aktivitäten zum Diebstahl von Anmeldedaten ausgeweitet und hat es auf für Russland strategisch wichtige Einrichtungen abgesehen. Gleichzeitig hat er seine Fähigkeiten, sich der Entdeckung zu entziehen, verfeinert und stellt damit ein wachsendes Problem dar. Microsofts Cyber-Bedrohungslandschaftverfolgt diese Bedrohung unter dem Clusternamen Star Blizzard (früher SEABORGIUM), wirft ein Licht die Schwere des COLDRIVER-Anmeldedaten-Diebstahls Situation. Der auch als Blue Callisto, BlueCharlie (oder TAG-53), Calisto, Gossamer Bear und TA446 bezeichnete Angreifer hat es immer wieder auf Personen und Organisationen abgesehen, die mit internationalen Angelegenheiten, Verteidigung und logistischer Unterstützung für die Ukraine zu tun haben. Auch akademische Einrichtungen und Informationssicherheitsunternehmen, die mit den Interessen des russischen Staates in Einklang stehen, bleiben nicht verschont.
COLDRIVER Zugangsdaten-Diebstahl
Star Blizzard, das Berichten zufolge mit dem russischen Föderalen Sicherheitsdienst (FSB) in Verbindung steht, hat eine Geschichte, die bis mindestens 2017. Der Bedrohungsakteur verwendet ähnlich aussehende Domains, die die Anmeldeseiten der anvisierten Unternehmen imitieren, und beweist damit einen Hang zur Raffinesse. Im August 2023 entdeckte Recorded Future 94 neue Domains, die mit der Angriffsinfrastruktur von COLDRIVER in Verbindung stehen. Diese Domains enthalten überwiegend Schlüsselwörter aus den Bereichen Informationstechnologie und Kryptowährungen, was die Anpassungsfähigkeit des Bedrohungsakteurs verdeutlicht.
COLDRIVER Malware Update: Dynamische Umgehungstechniken
Microsoft Sicherheitshinweis beobachtet eine Veränderung in der Taktik von COLDRIVER. Der Angreifer setzt seit April 2023 serverseitige Skripte ein, um automatisierte Scans seiner Infrastruktur zu vereiteln. In Abkehr von hCaptcha leitet COLDRIVER nun Browsing-Sitzungen auf den Evilginx-Server um. Der serverseitige JavaScript-Code bewertet die Eigenschaften des Browsers und prüft, ob Plugins oder Automatisierungstools wie Selenium oder PhantomJS installiert sind. Auf der Grundlage dieser Bewertung entscheidet der Umleitungsserver, ob die Browserumleitung fortgesetzt werden soll. Dieser dynamische Ansatz zielt auf die Verbesserung der Umgehungsmöglichkeiten.
Genialer Einsatz von E-Mail-Marketingdiensten
In einer bemerkenswerten Aktualisierung hat Star Blizzard E-Mail-Marketingdienste wie HubSpot und MailerLite in seine Kampagnen integriert. Diese dienen als Ausgangspunkt für die Umleitungskette, die schließlich zum Evilginx-Server führt, dem Dreh- und Angelpunkt für das Sammeln von Zugangsdaten. Der Bedrohungsakteur nutzt auch einen DNS-Anbieter (Domain Name Service), um die vom Akteur registrierte Domain-Infrastruktur aufzulösen, was einen vielschichtigen Ansatz zur Umgehung von Sicherheitsmaßnahmen zeigt.
Das Katz-und-Maus-Spiel mit Sicherheitsmaßnahmen
Trotz ständiger Änderungen und Verbesserungen bei den Umgehungstaktiken konzentriert sich Star Blizzard nach wie vor hauptsächlich auf E-Mail Anmeldedaten-Diebstahl. Cloud-basierte E-Mail-Anbieter, die sowohl organisatorische als auch persönliche E-Mail-Konten hosten, sind die primären Ziele. Microsoft unterstreicht die konsequente Nutzung dedizierter Virtual Private Servers (VPS) zum Hosten der von den Akteuren kontrollierten Infrastruktur, was das Engagement der Bedrohungsakteure für Spearphishing-Aktivitäten unterstreicht.
Internationale Reaktion und Sanktionen
Die Schwere der Aktivitäten von Star Blizzard wird durch internationale Reaktionen unterstrichen. Das Vereinigte Königreich hat Star Blizzard beschuldigt, versucht zu haben, sich in seine politischen Prozesse einzumischen, was zu Sanktionen gegen zwei identifizierte Mitglieder - Ruslan Aleksandrovich Peretyatko und Andrey Stanislavovich Korinets - geführt hat. Das US-Justizministerium hat eine Anklageschrift gegen diese Personen veröffentlicht, die ihre Beteiligung an Spear-Phishing-Kampagnen aufdeckt.
Bedenken der Five Eyes Intelligence Alliance
Die Geheimdienstallianz Five Eyes, bestehend aus Australien, Kanada, Neuseeland, Großbritannien und den USA, hat ihre Besorgnis über die Taktik von Star Blizzard zum Ausdruck gebracht. Das Verhaltensmuster des Bedrohungsakteurs umfasst das Imitieren bekannter Kontakte, das Erstellen gefälschter Social-Media-Profile und das Einrichten bösartiger Domains, die legitimen Organisationen ähneln. Diese Taktiken werden eingesetzt, um Spear-Phishing-Angriffe zu initiieren, die oft auf hochrangige Personen abzielen.
Entlarvung der Spear-Phishing-Techniken
Die Spear-Phishing-Angriffe von Star Blizzard folgen einer akribischen Recherche- und Vorbereitungsphase, die es ermöglicht, die Ziele auszuspähen. Die Verwendung von persönlichen E-Mail-Adressen ist ein strategischer Schachzug, um die Sicherheitskontrollen des Unternehmensnetzwerks zu umgehen. Der Angreifer baut eine Beziehung auf, bevor er Links liefert, die legitime Anmeldeseiten für Dienste imitieren. Microsoft warnt davor, besonders auf E-Mails von Proton-Konten zu achten, die häufig von Star Blizzard verwendet werden.
Rechtliche Konsequenzen und Belohnungen für Gerechtigkeit
Als Reaktion auf die Warnung vor Bedrohungen der Cybersicherheithat das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums den FSB in Hack-and-Leak-Operationen verwickelt. Das Ministerium beschuldigte die Mitglieder von Star Blizzard, Domains zum Sammeln von Anmeldeinformationen eingerichtet und Tools zur Umgehung der Zwei-Faktor-Authentifizierung eingesetzt zu haben. Trotz der Sanktionen hat das US-Außenministerium eine Belohnung in Höhe von 10 Millionen Dollar für Informationen ausgesetzt, die zur Identifizierung der Mitglieder von Star Blizzard führen, was das Ausmaß der Bedrohung unterstreicht.
Einblicke von Experten und globale Auswirkungen
Adam Meyers, Leiter der Abteilung Counter Adversary Operations bei CrowdStrike, beleuchtet die Entwicklung von COLDRIVER-Anmeldedaten-Diebstahl. Ursprünglich waren Regierungen, Militärs, Denkfabriken und Medieneinrichtungen mit Verbindungen zur Ukraine das Ziel, COLDRIVER-Angriffstrends haben ihren Fokus erweitert. Gossamer Bear wird verdächtigt, pro-russische Medien zu nutzen, um Informationen zu waschen, die durch Sammelaktionen erworben wurden, was eine besorgniserregende Entwicklung darstellt.
Internationale diplomatische Reaktion
Als Reaktion auf die Sanktionen bezeichnet die russische Botschaft in Großbritannien diese als "vergeblichen Versuch" und einen "Akt eines schlecht inszenierten Dramas" ab. Präsident Wladimir Putin unterstellt den westlichen Eliten, dass sie mit Sanktionen Konflikte provozieren, um ihre schwindende Vormachtstellung zu erhalten. Diese Microsoft-Warn-Update fügt dem komplexen Narrativ um COLDRIVER und seine Aktivitäten eine weitere Ebene hinzu.
Schlussfolgerung
Die Bedrohung durch COLDRIVER, die sich in den komplizierten Operationen von Star Blizzard manifestiert, erfordert eine koordinierte internationale Reaktion. Da die Landschaft der Risiken des Diebstahls von Zugangsdaten wird die Zusammenarbeit zwischen Cybersicherheitsexperten, Geheimdiensten und Regierungen immer wichtiger. Wachsamkeit, Anpassung der Sicherheitsmaßnahmenund die Sensibilisierung der Öffentlichkeit sind entscheidende Komponenten zum Schutz vor COLDRIVER-Anmeldedaten-Diebstahl.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und OWASP.