A Agência de Segurança Nacional (NSA) dos Estados Unidos, o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e parceiros internacionais emitiram um alerta sobre uma campanha cibernética russa que visa organizações governamentais, de defesa e de energia.
A campanha, apelidada de “Star Blizzard”, utiliza técnicas de phishing conhecidas para tentar enganar os destinatários a abrir anexos maliciosos ou clicar em links que infectam seus sistemas com malware. O malware pode ser usado para roubar dados, instalar backdoors ou realizar outras atividades maliciosas.
De acordo com a NSA, a campanha Star Blizzard está ativa desde pelo menos 2020. No entanto, a agência acredita que a atividade provavelmente se expandiu em 2022 para incluir alvos governamentais e de energia.
O alerta fornece uma série de recomendações para ajudar as organizações a se protegerem da campanha Star Blizzard. Essas recomendações incluem:
- Implementar políticas e procedimentos de segurança cibernética fortes
- Treinar funcionários sobre como identificar e evitar ataques de phishing
- Usar software de segurança cibernética atualizado
A campanha Star Blizzard é um lembrete de que as ameaças cibernéticas russas continuam sendo uma preocupação significativa. As organizações devem estar cientes dessa ameaça e tomar medidas para se protegerem.
Leia o relatório completo aqui.
MITRE ATT&CK ®
Este relatório foi compilado com base na estrutura MITRE ATT&CK ®, uma base de conhecimento de táticas e técnicas adversárias acessível globalmente, baseada em observações do mundo real.
| Tática | EU IA | Técnica | Procedimento |
| Reconhecimento | T1593 | Pesquisar sites/domínios abertos | A Star Blizzard usa pesquisas de código aberto e mídias sociais para identificar informações sobre as vítimas para usar na segmentação. |
| Reconhecimento | T1589 | Reúna informações de identidade da vítima | Star Blizzard usa conjuntos de dados online e recursos de código aberto para coletar informações sobre seus alvos. |
| Desenvolvimento de Recursos | T1585.001 | Estabelecer contas: contas de mídia social | A Star Blizzard foi observada estabelecendo perfis fraudulentos em sites de redes profissionais para realizar reconhecimento. |
| Desenvolvimento de Recursos | T1585.002 | Estabelecer contas: contas de e-mail | A Star Blizzard registra contas de e-mail de consumidores que correspondem aos nomes das pessoas que eles estão representando para realizar atividades de spear-phishing. |
| Desenvolvimento de Recursos | T1583.001 | Adquirir infraestrutura: domínios | Star Blizzard registra domínios para hospedar sua estrutura de phishing. |
| Desenvolvimento de Recursos | T1586.002 | Contas comprometidas: contas de e-mail | A Star Blizzard foi observada usando contas de e-mail de vítimas comprometidas para realizar atividades de spear-phishing contra os contatos da vítima original. |
| Acesso Inicial | T1078 | Contas válidas | A Star Blizzard usa credenciais comprometidas, capturadas de páginas de login falsas, para fazer login em contas válidas de usuários vítimas. |
| Acesso Inicial | T1566.001 | Phishing: anexo de spearphishing | A Star Blizzard usa links maliciosos incorporados em anexos de e-mail para direcionar as vítimas aos seus sites de roubo de credenciais. |
| Acesso Inicial | T1566.002 | Phishing: link de spearphishing | A Star Blizzard envia e-mails de spearphishing com links maliciosos diretamente para sites de roubo de credenciais ou para documentos hospedados em um site de compartilhamento de arquivos, que então direcionam as vítimas para sites de roubo de credenciais. |
| Evasão de Defesa | T1550.004 | Use material de autenticação alternativo: cookie de sessão da Web | Star Blizzard ignora a autenticação multifator nas contas de e-mail das vítimas usando cookies de sessão roubados usando EvilGinx. |
| Acesso a credenciais | T1539 | Roubar cookie de sessão da Web | A Star Blizzard usa o EvilGinx para roubar os cookies de sessão das vítimas direcionados aos seus domínios de login falsos. |
| Coleção | T1114.002 | Coleta de e-mail: coleta remota de e-mail | A Star Blizzard interage diretamente com serviços externos do Exchange, Office 365 e Google Workspace para acessar e-mails e roubar informações usando credenciais comprometidas ou tokens de acesso. |
| Coleção | T1114.003 | Coleta de e-mail: regra de encaminhamento de e-mail | A Star Blizzard abusa das regras de encaminhamento de e-mail para monitorar as atividades da vítima, roubar informações e manter acesso persistente aos e-mails da vítima, mesmo após a redefinição das credenciais comprometidas. |
MITIGAÇÕES
Uma série de mitigações serão úteis na defesa contra a atividade descrita neste comunicado.
- Use senhas fortes. Use uma senha separada para contas de e-mail e evite a reutilização de senhas em vários serviços. Consulte as orientações do NCSC: Principais dicas para se manter seguro online.
- Use a autenticação multifator (autenticação de dois fatores/autenticação em duas etapas) para reduzir o impacto do comprometimento de senhas. Consulte a orientação do NCSC: Autenticação multifator para serviços online e configuração da verificação em duas etapas (2SV).
- Proteja seus dispositivos e redes mantendo-os atualizados: use as versões mais recentes com suporte, aplique atualizações de segurança imediatamente, use antivírus e verifique regularmente para se proteger contra ameaças de malware conhecidas. Consulte as orientações do NCSC: Orientações sobre segurança de dispositivos.
- Exercite a vigilância. Os e-mails de spear-phishing são personalizados para evitar suspeitas. Você pode reconhecer o nome do remetente, mas o e-mail veio de um endereço que você reconhece? Você esperaria contato pelo endereço de webmail dessa pessoa em vez do endereço de email corporativo? O e-mail suspeito chegou ao seu endereço pessoal/webmail e não ao corporativo? Você pode verificar se o e-mail é legítimo por outro meio? Consulte as orientações do NCSC: Ataques de phishing: Defendendo sua organização e Internet Crime Complaint Center(IC3) | Alertas da indústria.
- Ative os recursos automatizados de verificação de e-mail dos seus provedores de e-mail. Eles são ativados por padrão para provedores de e-mail consumidores. Consulte a orientação do NCSC: Dizer aos usuários para “evitar clicar em links ruins” ainda não está funcionando.
- Desative o encaminhamento de e-mail. Observou-se que os invasores configuram regras de encaminhamento de e-mail para manter a visibilidade dos e-mails alvo. Se você não conseguir desabilitar o encaminhamento de e-mail, monitore as configurações regularmente para garantir que uma regra de encaminhamento não tenha sido configurada por um agente mal-intencionado externo.
Links adicionais:
- Site da NSA: https://www.nsa.gov/
- Site do NCSC: https://www.ncsc.gov.uk/
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
