代號為TA446、TAG-53或UNC4057的俄羅斯駭客Star Blizzard,從2023年至2024年8月從事大規模網路釣魚攻擊,美國司法部與微軟2024年10月聯手,破壞該組織用來攻擊的網站,但傳出不久這些駭客又死灰復燃。
微軟威脅情報團隊指出,Star Blizzard從去年11月中旬開始,發起新一波的攻擊行動,他們近期發現該駭客組織的戰術、手段、流程(TTP)出現了重大變化,那就是駭客開始要求受害者加入即時通訊軟體WhatsApp的群組。
這些駭客的主要目標,是參與政府機關、外交單位,以及研究國防政策、國際關係的人士,而這些目標人士往往與俄羅斯或烏克蘭戰爭有關。
究竟駭客如何發動攻擊?微軟表示,他們先假冒美國政府官員,透過電子郵件聯繫所要攻擊的目標對象,引誘收信人上當,然後再透過第二封信寄送惡意連結。
特別的是,第一封信內含QR Code,聲稱是為了支持烏克蘭的非政府組織,邀請收信人加入特定的WhatsApp群組,但實際上此條碼沒有作用,收信人若是用手機掃描,不會被導向信中提及的群組。研究人員認為,這個QR Code用途,其實是要降低使用者的戒心。
一旦收信人向駭客回信確認,對方就會寄出第二封信,表示可直接提供加入群組的URL,假如收信人點選,就會被重新導向號稱可以加入群組的網頁,要求掃描網頁上的QR Code進行,不過,這個條碼的真正功能,是將裝置或網頁版WhatsApp與帳號進行連結。
這代表收信人照做後,攻擊者就有可能透過他們的帳號存取對話內容,並利用瀏覽器延伸套件的匯出功能,外洩相關資料。
熱門新聞
2025-01-20
2025-01-20
2025-01-20
2025-01-20
2025-01-20
Advertisement