ClickCease Microsoft-Warnung: COLDRIVER Credential-Diebstahl nimmt wieder zu

Microsoft-Warnung: COLDRIVER Credential-Diebstahl nimmt wieder zu

Wajahat Raja

Dezember 20, 2023 - TuxCare Expertenteam

In einer kürzlich veröffentlichten Microsoft-Sicherheitswarnunghat der berüchtigte Bedrohungsakteur, der als COLDRIVER bekannt ist, seine Aktivitäten zum Diebstahl von Anmeldedaten ausgeweitet und hat es auf für Russland strategisch wichtige Einrichtungen abgesehen. Gleichzeitig hat er seine Fähigkeiten, sich der Entdeckung zu entziehen, verfeinert und stellt damit ein wachsendes Problem dar. Microsofts Cyber-Bedrohungslandschaftverfolgt diese Bedrohung unter dem Clusternamen Star Blizzard (früher SEABORGIUM), wirft ein Licht die Schwere des COLDRIVER-Anmeldedaten-Diebstahls Situation. Der auch als Blue Callisto, BlueCharlie (oder TAG-53), Calisto, Gossamer Bear und TA446 bezeichnete Angreifer hat es immer wieder auf Personen und Organisationen abgesehen, die mit internationalen Angelegenheiten, Verteidigung und logistischer Unterstützung für die Ukraine zu tun haben. Auch akademische Einrichtungen und Informationssicherheitsunternehmen, die mit den Interessen des russischen Staates in Einklang stehen, bleiben nicht verschont.

 

COLDRIVER Zugangsdaten-Diebstahl


Star Blizzard, das Berichten zufolge mit dem russischen Föderalen Sicherheitsdienst (FSB) in Verbindung steht, hat eine Geschichte, die bis mindestens
2017. Der Bedrohungsakteur verwendet ähnlich aussehende Domains, die die Anmeldeseiten der anvisierten Unternehmen imitieren, und beweist damit einen Hang zur Raffinesse. Im August 2023 entdeckte Recorded Future 94 neue Domains, die mit der Angriffsinfrastruktur von COLDRIVER in Verbindung stehen. Diese Domains enthalten überwiegend Schlüsselwörter aus den Bereichen Informationstechnologie und Kryptowährungen, was die Anpassungsfähigkeit des Bedrohungsakteurs verdeutlicht.


COLDRIVER Malware Update: Dynamische Umgehungstechniken


Microsoft Sicherheitshinweis
beobachtet eine Veränderung in der Taktik von COLDRIVER. Der Angreifer setzt seit April 2023 serverseitige Skripte ein, um automatisierte Scans seiner Infrastruktur zu vereiteln. In Abkehr von hCaptcha leitet COLDRIVER nun Browsing-Sitzungen auf den Evilginx-Server um. Der serverseitige JavaScript-Code bewertet die Eigenschaften des Browsers und prüft, ob Plugins oder Automatisierungstools wie Selenium oder PhantomJS installiert sind. Auf der Grundlage dieser Bewertung entscheidet der Umleitungsserver, ob die Browserumleitung fortgesetzt werden soll. Dieser dynamische Ansatz zielt auf die Verbesserung der Umgehungsmöglichkeiten.


Genialer Einsatz von E-Mail-Marketingdiensten


In einer bemerkenswerten Aktualisierung hat Star Blizzard E-Mail-Marketingdienste wie HubSpot und MailerLite in seine Kampagnen integriert. Diese dienen als Ausgangspunkt für die Umleitungskette, die schließlich zum Evilginx-Server führt, dem Dreh- und Angelpunkt für das Sammeln von Zugangsdaten. Der Bedrohungsakteur nutzt auch einen DNS-Anbieter (Domain Name Service), um die vom Akteur registrierte Domain-Infrastruktur aufzulösen, was einen vielschichtigen Ansatz zur Umgehung von Sicherheitsmaßnahmen zeigt.


Das Katz-und-Maus-Spiel mit Sicherheitsmaßnahmen


Trotz ständiger Änderungen und Verbesserungen bei den Umgehungstaktiken konzentriert sich Star Blizzard nach wie vor hauptsächlich auf E-Mail
Anmeldedaten-Diebstahl. Cloud-basierte E-Mail-Anbieter, die sowohl organisatorische als auch persönliche E-Mail-Konten hosten, sind die primären Ziele. Microsoft unterstreicht die konsequente Nutzung dedizierter Virtual Private Servers (VPS) zum Hosten der von den Akteuren kontrollierten Infrastruktur, was das Engagement der Bedrohungsakteure für Spearphishing-Aktivitäten unterstreicht.


Internationale Reaktion und Sanktionen


Die Schwere der Aktivitäten von Star Blizzard wird durch internationale Reaktionen unterstrichen. Das Vereinigte Königreich hat Star Blizzard beschuldigt, versucht zu haben, sich in seine politischen Prozesse einzumischen, was zu Sanktionen gegen zwei identifizierte Mitglieder - Ruslan Aleksandrovich Peretyatko und Andrey Stanislavovich Korinets - geführt hat. Das US-Justizministerium hat eine Anklageschrift gegen diese Personen veröffentlicht, die ihre Beteiligung an Spear-Phishing-Kampagnen aufdeckt.


Bedenken der Five Eyes Intelligence Alliance


Die Geheimdienstallianz Five Eyes, bestehend aus Australien, Kanada, Neuseeland, Großbritannien und den USA, hat ihre Besorgnis über die Taktik von Star Blizzard zum Ausdruck gebracht. Das Verhaltensmuster des Bedrohungsakteurs umfasst das Imitieren bekannter Kontakte, das Erstellen gefälschter Social-Media-Profile und das Einrichten bösartiger Domains, die legitimen Organisationen ähneln. Diese Taktiken werden eingesetzt, um Spear-Phishing-Angriffe zu initiieren, die oft auf hochrangige Personen abzielen.


Entlarvung der Spear-Phishing-Techniken


Die Spear-Phishing-Angriffe von Star Blizzard folgen einer akribischen Recherche- und Vorbereitungsphase, die es ermöglicht, die Ziele auszuspähen. Die Verwendung von persönlichen E-Mail-Adressen ist ein strategischer Schachzug, um die Sicherheitskontrollen des Unternehmensnetzwerks zu umgehen. Der Angreifer baut eine Beziehung auf, bevor er Links liefert, die legitime Anmeldeseiten für Dienste imitieren. Microsoft warnt davor, besonders auf E-Mails von Proton-Konten zu achten, die häufig von Star Blizzard verwendet werden.


Rechtliche Konsequenzen und Belohnungen für Gerechtigkeit


Als Reaktion auf die
Warnung vor Bedrohungen der Cybersicherheithat das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums den FSB in Hack-and-Leak-Operationen verwickelt. Das Ministerium beschuldigte die Mitglieder von Star Blizzard, Domains zum Sammeln von Anmeldeinformationen eingerichtet und Tools zur Umgehung der Zwei-Faktor-Authentifizierung eingesetzt zu haben. Trotz der Sanktionen hat das US-Außenministerium eine Belohnung in Höhe von 10 Millionen Dollar für Informationen ausgesetzt, die zur Identifizierung der Mitglieder von Star Blizzard führen, was das Ausmaß der Bedrohung unterstreicht.


Einblicke von Experten und globale Auswirkungen


Adam Meyers, Leiter der Abteilung Counter Adversary Operations bei CrowdStrike, beleuchtet die Entwicklung von
COLDRIVER-Anmeldedaten-Diebstahl. Ursprünglich waren Regierungen, Militärs, Denkfabriken und Medieneinrichtungen mit Verbindungen zur Ukraine das Ziel, COLDRIVER-Angriffstrends haben ihren Fokus erweitert. Gossamer Bear wird verdächtigt, pro-russische Medien zu nutzen, um Informationen zu waschen, die durch Sammelaktionen erworben wurden, was eine besorgniserregende Entwicklung darstellt.


Internationale diplomatische Reaktion


Als Reaktion auf die Sanktionen bezeichnet die russische Botschaft in Großbritannien diese als
"vergeblichen Versuch" und einen "Akt eines schlecht inszenierten Dramas" ab. Präsident Wladimir Putin unterstellt den westlichen Eliten, dass sie mit Sanktionen Konflikte provozieren, um ihre schwindende Vormachtstellung zu erhalten. Diese Microsoft-Warn-Update fügt dem komplexen Narrativ um COLDRIVER und seine Aktivitäten eine weitere Ebene hinzu.


Schlussfolgerung


Die Bedrohung durch COLDRIVER, die sich in den komplizierten Operationen von Star Blizzard manifestiert, erfordert eine koordinierte internationale Reaktion. Da die Landschaft der
Risiken des Diebstahls von Zugangsdaten wird die Zusammenarbeit zwischen Cybersicherheitsexperten, Geheimdiensten und Regierungen immer wichtiger. Wachsamkeit, Anpassung der Sicherheitsmaßnahmenund die Sensibilisierung der Öffentlichkeit sind entscheidende Komponenten zum Schutz vor COLDRIVER-Anmeldedaten-Diebstahl.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und OWASP.

Zusammenfassung
Microsoft-Warnung: COLDRIVER Credential-Diebstahl nimmt wieder zu
Artikel Name
Microsoft-Warnung: COLDRIVER Credential-Diebstahl nimmt wieder zu
Beschreibung
Informieren Sie sich über den zunehmenden Diebstahl von COLDRIVER-Anmeldedaten. Microsofts Warnung enthüllt die neuesten Taktiken. Sichern Sie Ihre Daten jetzt!
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter