Un avversario con collegamenti alla Russia è stato collegato a 94 nuovi domini, suggerendo che il gruppo stia attivamente modificando la sua infrastruttura in risposta alle rivelazioni pubbliche sulle sue attività. La società di cybersecurity Recorded Future ha collegato la nuova infrastruttura a un attore minaccioso che traccia con il nome BlueCharlie.
Chi è BlueCharlie?
BlueCharlie è un gruppo di hacker che è stato precedentemente designato come Threat Activity Group 53 (TAG-53) e è noto anche con i nomi Blue Callisto, Callisto (o Calisto), COLDRIVER, Star Blizzard (precedentemente SEABORGIUM) e TA446. Si ritiene che sia affiliato al Servizio Federale di Sicurezza (FSB) della Russia e sia attivo dal 2017.
Le attività di BlueCharlie
Il gruppo è stato collegato a campagne di phishing volte al furto di credenziali, utilizzando domini che si spacciano per le pagine di login di aziende del settore privato, laboratori di ricerca nucleare e ONG coinvolte nella crisi ucraina. “Le attività di raccolta di Calisto contribuiscono probabilmente agli sforzi russi per interrompere la catena di approvvigionamento di Kiev per i rinforzi militari”, ha osservato Sekoia quest’anno.
Collegamenti con la Russia
Un rapporto pubblicato da NISOS nel gennaio 2023 ha identificato possibili collegamenti tra l’infrastruttura di attacco del gruppo e una società russa che stipula contratti con entità governative nel paese. BlueCharlie ha condotto persistenti campagne di phishing e furto di credenziali che consentono ulteriori intrusioni e furti di dati.
Nuovi domini e tecniche
Le ultime scoperte rivelano che BlueCharlie ha adottato un nuovo schema di denominazione per i suoi domini, con parole chiave legate all’informatica e alla criptovaluta, come cloudrootstorage[.]com e storagecryptogate[.]com. Settantotto dei 94 nuovi domini sono stati registrati utilizzando NameCheap, mentre altri registrar utilizzati includono Porkbun e Regway.
Misure di mitigazione
Per mitigare le minacce poste dai gruppi di minacce avanzate persistenti (APT) sponsorizzati dallo stato, si raccomanda alle organizzazioni di implementare l’autenticazione multifattore resistente al phishing (MFA), disabilitare le macro in Microsoft Office e applicare una politica di reimpostazione frequente delle password.