代号为TA446、TAG-53或UNC4057的俄罗斯骇客Star Blizzard,从2023年至2024年8月从事大规模网路钓鱼攻击,,发起新一波的攻击行动,但这次不同的是,他们开始要求受害者加入即时通讯软体WhatsApp的群组。研究人员表示,这是他们近期发现该骇客组织的战术、手段、流程(TTP)出现了重大变化。
这些骇客的主要目标,是参与政府机关、外交单位,以及研究国防政策、国际关系的人士,而这些目标人士往往与俄罗斯或乌克兰战争有关。
究竟骇客如何发动攻击?微软表示,他们先假冒美国政府官员,透过电子邮件联系所要攻击的目标对象,引诱收信人上当,然后再透过第二封信寄送恶意连结。
特别的是,第一封信内含QR Code,声称是为了支持乌克兰的非政府组织,邀请收信人加入特定的WhatsApp群组,但实际上此条码没有作用,收信人若是用手机扫描,不会被导向信中提及的群组。研究人员认为,这个QR Code用途,其实是要降低使用者的戒心。
一旦收信人向骇客回信确认,对方就会寄出第二封信,表示可直接提供加入群组的URL,假如收信人点选,就会被重新导向号称可以加入群组的网页,要求扫描网页上的QR Code进行,不过,这个条码的真正功能,是将装置或网页版WhatsApp与帐号进行连结。
这代表收信人照做后,攻击者就有可能透过他们的帐号存取对话内容,并利用浏览器延伸套件的汇出功能,外泄相关资料。