読メモ:New Star Blizzard spear-phishing campaign targets WhatsApp accountsBy Microsoft Threat Intelligence
最近よく目にする QR コード関連ネタということで、考察はありませんが、攻撃の経緯を、実際の画像を交えてみていきます。Star Blizzard は 2023年1月から 2024年8月頃にかけて、ジャーナリスト、シンクタンク、非政府組織(NGO)などの市民団体を対象に、機密情報を盗み出す等の活動を行っていたことが確認されていますが、直近では WhatsApp を手段に増やして、キャンペーンを新しくしたようです。
従来のスピアフィッシング + WhatsApp での攻撃(画像付き)
Start Blizzard は、従来通り、電子メール経由で接触を開始してターゲットを引きつけ、悪意のあるリンクを含む 2番目のメッセージを送信します。脅威アクターは、米国政府関係者になりすましています。ターゲットに送られた最初のメールには、「ウクライナのNGOを支援することを目的とした最新の非政府イニシアチブ」に関する WhatsApp グループにユーザーを誘導することを意図して、 QR コードが含まれています。実際にはこのコードは壊れており、ターゲットから問い合わせが来るように仕向けています。
QR コードが壊れている旨を返信すると、下記の URL が送られてきます。
このリンクをクリックすると、今度は下記の Web ページにリダイレクトされ、QR コードをスキャンしてグループに参加するように求められます。ただし、この QR コードは、WhatsApp のアカウントを攻撃者のデバイスやWhatsAppWeb ポータルに接続するために使用されます。つまり、対象者がこのページの指示に従うと、攻撃者は対象者の WhatsApp アカウントのメッセージにアクセスし、既存のブラウザプラグインを使用してこのデータを抽出することができるようになります。これらのプラグインは、WhatsApp Web を介してアクセスされたアカウントから WhatsApp メッセージをエクスポートするために設計されています。
その他、既存の Star Blizzard の攻撃に関しては、下記のブログも目を通したいです。
Star Blizzard、スピアフィッシングにPDFレスのアプローチを採用
Star Blizzardのスピアフィッシングキャンペーンは、米国のシンクタンクを標的にしています
Star Blizzardの継続的なフィッシング作戦を阻止
参照元:New Star Blizzard spear-phishing campaign targets WhatsApp accounts | Microsoft Security Blog