ロシアの国家行為者Star Blizzardは、政府、外交、防衛政策、国際関係、ウクライナ支援組織のターゲットのWhatsAppアカウントを侵害する新たなスピアフィッシングキャンペーンを実施している。
Microsoft Threat Intelligenceのレポートによると、このキャンペーンは2024年11月中旬に観測されたもので、脅威行為者の戦術、テクニック、手順が最近暴露されたことへの対応として、Star Blizzardの戦術的転換を表しています。
悪質なWhatsApp招待
Star Blizzardは標的へのEメールメッセージで米国政府関係者になりすまし、攻撃を開始する。その誘い文句は、ウクライナを支援する非政府組織に関連するWhatsAppグループへの招待状です。

Source:マイクロソフト
このメールには、意図的に壊れたQRコードが含まれており、受信者から代替リンクを要求する返信をさせようとする。
被害者が返信すると、Star Blizzard は「t.ly」ショートリンクを含む別のメールを送信し、新しい QR コードが記載された正規の WhatsApp 招待ページを模倣した偽のウェブページに誘導する。
.jpg)
マイクロソフト
しかし、この新しいQRコードは、攻撃者の新しいデバイスを被害者のWhatsAppアカウントにリンクさせるためのものだ。
「ターゲットがこのページの指示に従うと、脅威者はWhatsAppアカウントのメッセージにアクセスできるようになり、WhatsApp Web経由でアクセスしたアカウントからWhatsAppメッセージをエクスポートするために設計された既存のブラウザプラグインを使用して、このデータを流出させる機能を持つことができます」とマイクロソフトは説明している。
この攻撃はソーシャル・エンジニアリングにのみ依存しており、ウイルス対策ツールが検出できるようなマルウェアは存在しないため、ユーザーは迷惑な通信に注意し、グループへの招待を受ける際には細心の注意を払う必要がある。
WhatsAppアカウントにリンクされているデバイスを確認するのも良い方法です。これはモバイル端末(iPhoneまたはAndroid)のアプリケーションの「リンクされたデバイス」オプションから可能で、見覚えのないデバイスはログアウトする。
このフィッシング・キャンペーンは、マイクロソフトと米司法省がロシアの脅威グループが使用していた180以上のドメインを押収またはダウンさせた2024年10月のStar Blizzardの活動妨害が長期的な影響を与えず、ハッカーが他の攻撃ベクトルを探ることで活動を継続していたことを示している。
Comments