COLDRIVER, el actor de amenazas reconocido, ha continuado ejecutando actividades de robo de credenciales dirigidas a entidades estratégicamente relevantes para Rusia. Simultáneamente, ha perfeccionado sus habilidades para evadir sistemas de detección.

El equipo de Inteligencia de Amenazas de Microsoft está monitoreando este conjunto de amenazas bajo el nombre de Star Blizzard (anteriormente conocido como SEABORGIUM). También se le conoce como Blue Callisto, BlueCharlie (o TAG-53), Calisto (alternativamente escrito Callisto) y TA446.

Este adversario persiste en sus ataques prolíficos dirigidos a individuos y organizaciones involucrados en asuntos internacionales, defensa, apoyo logístico a Ucrania, así como a la academia, empresas de seguridad de la información y otras entidades alineadas con los intereses estatales rusos, según declaraciones de Redmond.

Star Blizzard, vinculado al Servicio Federal de Seguridad (FSB) de Rusia, tiene un historial de crear dominios que imitan las páginas de inicio de sesión de empresas específicas. Se tiene constancia de su actividad desde al menos 2017.

En agosto de 2023, Recorded Future desveló la existencia de 94 nuevos dominios que integran la infraestructura de ataque del actor de amenazas, siendo la mayoría de ellos notablemente asociados a términos clave relacionados con la tecnología de la información y las criptomonedas.

Microsoft, por su parte, identificó al adversario implementando scripts del lado del servidor como estrategia para eludir la detección automatizada de la infraestructura bajo su control a partir de abril de 2023. Se alejaron de la utilización de hCaptcha para la identificación de objetivos de interés y optaron por redirigir las sesiones de navegación al servidor Evilginx.

El código JavaScript del lado del servidor está meticulosamente diseñado para verificar la existencia de complementos en el navegador, detectar si la página está siendo accedida mediante herramientas de automatización como Selenium o PhantomJS, y luego transmitir los resultados al servidor mediante una solicitud HTTP POST.

“Posterior a la solicitud POST, el servidor redirector analiza los datos recopilados del navegador y toma la decisión de permitir o no la continuación de la redirección del navegador”, detalló Microsoft.

“Cuando se alcanza un veredicto favorable, el navegador recibe una respuesta del servidor de redirección, conduciéndolo hacia la siguiente etapa de la cadena: un desafío hCaptcha para que el usuario lo resuelva, o una redirección directa al servidor Evilginx”.

Star Blizzard ha incorporado recientemente servicios de marketing por correo electrónico, como HubSpot y MailerLite, en sus estrategias. Estos servicios se utilizan para crear campañas que actúan como el punto de inicio de la cadena de redireccionamiento, culminando en el servidor Evilginx que alberga la página de recolección de credenciales.

Además, se ha observado que este actor de amenazas emplea un proveedor de servicios de nombres de dominio (DNS) para resolver la infraestructura de dominio registrada. Enviando señuelos PDF protegidos con contraseña, incrustan enlaces para eludir los procesos de seguridad del correo electrónico y alojan archivos en Proton Drive.

Pero eso no es todo. Como indicativo de su control activo sobre informes públicos sobre tácticas y técnicas, Star Blizzard ha actualizado su algoritmo de generación de dominios (DGA) para incluir una lista más aleatoria de palabras al nombrarlos. A pesar de estos ajustes, Microsoft señala que “las actividades de Star Blizzard siguen enfocándose en el robo de credenciales de correo electrónico, principalmente dirigidas a proveedores de correo electrónico basados en la nube que alojan cuentas organizativas y/o personales”.

“Star Blizzard sigue utilizando pares de VPS dedicados para alojar la infraestructura controlada por el actor (redireccionadores + servidores Evilginx) utilizada en actividades de phishing. Cada servidor generalmente aloja un dominio registrado por separado por el actor”.

Reino Unido sanciona a dos miembros de Star Blizzard

El Reino Unido ha tomado medidas sancionando a dos miembros de Star Blizzard: Ruslan Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets (alias Alexey Doguzhiev). Esta acción se produce después de que el Reino Unido denunciara a Star Blizzard por “intentos sostenidos y fallidos de interferir en los procesos políticos del país”, apuntando a individuos y entidades de alto perfil mediante operaciones cibernéticas. Además, el gobierno británico vincula a Star Blizzard con el Centro 18, un elemento subordinado dentro del FSB, y señala que la actividad resultó en el acceso no autorizado y la exfiltración de datos confidenciales con el objetivo de socavar organizaciones del Reino Unido y, más ampliamente, al gobierno del país.

Conclusiones

COLDRIVER persiste en actividades de robo de credenciales dirigidas a entidades estratégicas para Rusia. Vinculado al FSB, ha evolucionado sus tácticas, utilizando scripts del lado del servidor y alejándose de hCaptcha. Sus operaciones incluyen la creación de dominios, campañas de phishing mediante servicios de marketing por correo y actualización del algoritmo DGA.

A pesar de los cambios, Star Blizzard se centra en el robo de credenciales de correo electrónico, especialmente de proveedores basados en la nube. El Reino Unido ha sancionado a dos miembros, Ruslan Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets, vinculándolos al FSB y denunciando intentos de interferencia política, con la exfiltración de datos confidenciales.

Recomendaciones:

1. Fortalecimiento de Defensas: Reforzar medidas de seguridad contra tácticas evasivas, como scripts del lado del servidor y campañas de phishing.
2. Vigilancia Continua: Mantener la monitorización constante de la infraestructura digital para detectar nuevas variantes y actualizaciones de tácticas.
3. Concientización: Educar a usuarios sobre posibles ataques de phishing, destacando el riesgo de abrir enlaces o archivos de origen desconocido.
4. Colaboración Internacional: Fomentar la colaboración entre países para abordar amenazas cibernéticas transfronterizas y compartir información relevante.
5. Actualización de Políticas: Revisar y actualizar políticas de seguridad cibernética, considerando las tácticas específicas de actores como Star Blizzard.

fuente: thehackernews