Χάκερ BlueDelta επιτίθενται σε χρήστες Microsoft OWA, Google και Sophos VPN για να κλέψουν στοιχεία σύνδεσης

Η BlueDelta, μια ομάδα απειλών που χρηματοδοτείται από το ρωσικό κράτος και συνδέεται με τη στρατιωτική υπηρεσία πληροφοριών της χώρας γνωστή ως GRU, έχει επεκτείνει σημαντικά τις επιχειρήσεις κλοπής διαπιστευτηρίων της καθ’ όλη τη διάρκεια του 2025.

Μεταξύ Φεβρουαρίου και Σεπτεμβρίου, η ομάδα ξεκίνησε πολλές καμπάνιες ηλεκτρονικού ψαρέματος που είχαν σχεδιαστεί για να εξαπατήσουν τους χρήστες των υπηρεσιών Microsoft Outlook Web Access, Google και Sophos VPN να παραδώσουν τα στοιχεία σύνδεσής τους.

Αυτή η εξελισσόμενη απειλή καταδεικνύει τη δέσμευση του ομίλου να συγκεντρώνει διαπιστευτήρια από κυβερνητικούς αξιωματούχους, εργαζόμενους στον ενεργειακό τομέα και επαγγελματίες της έρευνας σε όλη την Ευρώπη και την Ευρασία.

Οι επιθέσεις αντιπροσωπεύουν μια σαφή εξέλιξη του μακροχρόνιου εμπορίου της BlueDelta, η οποία έχει στοχεύσει ευαίσθητους οργανισμούς από τα μέσα της δεκαετίας του 2000.

Η ομάδα εστιάζει κυρίως σε ιδρύματα που συνδέονται με την ενεργειακή έρευνα, την αμυντική συνεργασία και τα κυβερνητικά δίκτυα επικοινωνίας.

Οι πρόσφατες καμπάνιες δείχνουν αυξημένη πολυπλοκότητα στον τρόπο με τον οποίο το BlueDelta συνδυάζει πολλαπλά στάδια επίθεσης, προσαρμοσμένο κώδικα και αυθεντικά έγγραφα δελεασμού για να παρακάμψει τους ελέγχους ασφαλείας και να ενισχύσει την εμπιστοσύνη των θυμάτων.

Καταγράφηκαν μελλοντικοί αναλυτές αναγνωρισθείς το κακόβουλο λογισμικό μετά τη δεύτερη φάση ανάπτυξης, αποκαλύπτοντας τους τεχνικούς μηχανισμούς πίσω από κάθε επίθεση.

Οι ερευνητές ανακάλυψαν ότι η BlueDelta βασίζεται σε μεγάλο βαθμό σε δωρεάν υπηρεσίες φιλοξενίας όπως Webhook.site, InfinityFree, Byet Internet Services και ngrok για να φιλοξενεί τις ψεύτικες σελίδες σύνδεσης και να καταγράφει αυτόματα κλεμμένα διαπιστευτήρια.

Αυτή η στρατηγική υποδομής διατηρεί το λειτουργικό κόστος στο ελάχιστο, ενώ διατηρεί την ευελιξία μέσω των υπηρεσιών μιας χρήσης.

Μηχανισμός σύλληψης διαπιστευτηρίων πολλαπλών σταδίων

Ο μηχανισμός μόλυνσης που χρησιμοποιεί η BlueDelta ακολουθεί μια προσεκτικά ενορχηστρωμένη αλυσίδα ανακατευθύνσεων που έχουν σχεδιαστεί για να συλλέγουν δεδομένα χρήστη, διατηρώντας παράλληλα ένα κάλυμμα νομιμότητας.

Όταν ένα θύμα κάνει κλικ σε έναν σύνδεσμο phishing, συναντά πρώτα νόμιμα έγγραφα PDF από οργανισμούς όπως το Κέντρο Ερευνών του Κόλπου.

Αυτά τα έγγραφα εμφανίζονται για περίπου δύο δευτερόλεπτα πριν η σελίδα ανακατευθύνει αυτόματα σε μια πλαστογραφημένη πύλη σύνδεσης που αντικατοπτρίζει την εμφάνιση των αυθεντικών διεπαφών της Microsoft, της Google ή της Sophos.

Ο κακόβουλος κώδικας χρησιμοποιεί λειτουργίες JavaScript για τη συστηματική καταγραφή πληροφοριών θυμάτων.

Ο κώδικας εξάγει διευθύνσεις email από τις παραμέτρους URL και στέλνει έναν φάρο “άνοιγμα σελίδας” που περιέχει το email του θύματος, τη διεύθυνση IP και τις πληροφορίες του προγράμματος περιήγησης πίσω στον διακομιστή εντολών του BlueDelta.

Όταν τα θύματα εισάγουν τα διαπιστευτήριά τους, πρόσθετη JavaScript καταγράφει το όνομα χρήστη και τον κωδικό πρόσβασης και στη συνέχεια μεταδίδει αυτές τις πληροφορίες μέσω αιτημάτων HTTP POST στο τελικό σημείο που ελέγχεται από τον εισβολέα.

Αυτό που το κάνει ιδιαίτερα αποτελεσματικό είναι η τροποποίηση της εμφανιζόμενης διεύθυνσης URL του προγράμματος περιήγησης από την BlueDelta.

Μετά την υποβολή των διαπιστευτηρίων, η σελίδα αλλάζει από την εμφάνιση του τομέα ηλεκτρονικού “ψαρέματος” στην εμφάνιση “/owa/” ή “/pdfviewer?pdf=browser”, δημιουργώντας την εντύπωση μιας νόμιμης διεπαφής εφαρμογής.

Στη συνέχεια, η σελίδα ανακατευθύνεται στο αυθεντικό PDF ή σε μια πραγματική πύλη σύνδεσης που ανήκει στον στοχευμένο οργανισμό, κάνοντας τα θύματα να πιστεύουν ότι ολοκλήρωσαν μια κανονική διαδικασία ελέγχου ταυτότητας.

Η συνεχής βελτίωση αυτών των τεχνικών από την ομάδα δείχνει μια εξελιγμένη κατανόηση της ψυχολογίας των χρηστών και της συμπεριφοράς του προγράμματος περιήγησης ιστού, επιτρέποντας στην BlueDelta να διατηρεί υψηλά ποσοστά επιτυχίας στη συλλογή διαπιστευτηρίων αποφεύγοντας τον εντοπισμό.