Další lednové vydání Cybulovin přináší mrazivý pohled na aktuální dění v kyberprostoru. Tento týden se zaměřujeme na ruskou skupinu Star Blizzard a její útoky zneužívající aplikaci WhatsApp, dále pak na aktivity APT28 mířící na Kazachstán a také na nově odhalenou APT skupinu s názvem PlushDaemon. Tato skupina byla v roce 2023 spojena s útokem na dodavatelský řetězec, jehož cílem byl jihokorejský poskytovatel virtuální privátní sítě IPany.
Příjemné čtení!
Tým Cybule
Obsah:
- Čínská skupina PlushDaemon komprotivovala aktualizační proces jihokorejského poskytovatele VPN
- Star Blizzard mění taktiku: Nová spearphihisngová kampaň cílí na WhatsApp
- Kyberšpionáž v Kazachstánu: Ruská UAC-0063 znovu na scéně
Čínská skupina PlushDaemon komprotivovala aktualizační proces jihokorejského poskytovatele VPN
(22.5.2024, ESET)
Výzkumníci z ESET popsali dříve nezdokumentovanou pokročilou trvalou hrozbu (APT) PlushDaemon, která provedla útok na dodavatelský řetězec proti jihokorejskému poskytovateli VPN IPany v roce 2023. Skupina používá sofistikovaný backdoor nazvaný SlowStepper, který je součástí sady nástrojů s více než 30 komponentami. SlowStepper je vyvinut v jazycích C++, Python a Go, což umožňuje rozsáhlé sbírání dat a dohled. Podle zjištění ESET, PlushDaemon je aktivní nejméně od roku 2019 a během své existence cílil na osoby a subjekty v Číně, Tchaj-wanu, Hongkongu, Jižní Koreji, Spojených státech a na Novém Zélandu.
Instalační soubor SlowStepper na webu IPany (ESET)

Co potřebujete vědět:
- PlushDaemon cílí na subjekty v Číně, Tchaj-wanu, Hongkongu, Jižní Koreji, Spojených státech a na Novém Zélandu. Primárně zneužívá legitimní aktualizace čínských aplikací a zneužívá zranitelnosti webových serverů pro počáteční přístup.
- SlowStepper je sofistikovaný backdoor vyvinutý primárně v C++. Verze použité při útoku na dodavatelský řetězec softwaru IPany VPN je označena jako 0.2.10 Lite, která má méně funkcí ve srovnání s jinými verzemi. Nejstarší známá verze SlowStepper je 0.1.7, zkompilovaná 31. ledna 2019. Nejnovější plná verze je 0.2.12, zkompilovaná 13. června 2024.
- Obě plné i Lite verze SlowStepper využívají nástroje napsané v Pythonu a Go pro rozsáhlé sbírání dat a dohled, včetně nahrávání zvuku a videa. Tyto nástroje byly hostovány na čínské platformě GitCode pod soukromým účtem s názvem LetMeGo22.
- Při útoku na jihokorejského poskytovatele VPN PlushDaemon nahradil legitimní instalační program verzí, která nasadila SlowStepper. Uživatelé stáhli kompromitovaný instalační program NSIS z webu poskytovatele VPN, který nainstaloval jak legitimní software VPN, tak backdoor.
- V květnu 2024 společnost ESET odhalila malware SlowStepper, když systémy ESET detekovaly škodlivý soubor stažený z webu IPany. Uživatel stáhl legitimní instalační soubor IPany společně s malwarem SlowStepper. Další vyšetřování ukázalo, že několik uživatelů se pokusilo nainstalovat trojanizovaný software v síti jihokorejské polovodičové společnosti a vývojářské společnosti. Dva nejstarší registrované případy byly oběti z Japonska v listopadu 2023 a z Číny v prosinci 2023.
Komentář Cybule: Použití několika verzi SlowStepper naznačuje, že PlushDaemon stojí i za vývojem backdooru a neustále zlepšuje jeho schopnosti. Vývoj vlastního malwaru obvykle značí vysoké technické schopnosti APT skupiny. Počáteční cílení skupiny na uživatele čínských aplikací a následné rozšíření záběru na cíle v Koreji, Japonsku či Tchaj-wanu, připomíná modus operandi čínských kontraktorů, jako je I-Soon (Aquatic Panda) nebo Chengdu 404 (APT41), kteří cílí na oběti podle aktuálních potřeb čínských státních orgánů.
Star Blizzard mění taktiku: Nová spearphihisngová kampaň cílí na WhatsApp
(16.01.2025, Microsoft)
V listopadu 2024 analytický tým Microsoftu odhalil novou taktiku ruské kyberšpionážní skupiny Star Blizzard, která poprvé využila aplikaci WhatsApp jako nový vektor útoku. Spear-phishingová kampaň spočívala v rozesílání falešných pozvánek do skupin na WhatsAppu, což útočníkům mohlo umožnit získat přístup k uživatelským účtům a získat citlivé informace. Skupina Star Blizzard se dlouhodobě zaměřuje na cíle, jako jsou státní správa a diplomacie (včetně současných i bývalých úředníků), odborníků na obrannou politiku a výzkumníků v oblasti mezinárodních vztahů, jejichž činnost souvisí s Ruskem nebo válečnou pomocí Ukrajině.
Co potřebujete vědět:
- Od ledna 2023 do srpna 2024 se skupina Star Blizzard zaměřila na novináře, think-tanky a nevládní organizace (NGO) prostřednictvím spear-phishingových kampaní s cílem získat citlivé informace a ovlivnit jejich činnost. Od 3. října 2024 společnost Microsoft a Ministerstvo spravedlnosti USA zablokovaly a odstranily více než 180 webových stránek souvisejících s touto činností. Tato koordinovaná operace sice vedla k dočasnému narušení phishingových aktivit Star Blizzard, avšak odhalení jejich infrastruktury pouze iniciovalo rychlou migraci na nové domény.
- Kompromitaci účtů WhatsApp je pravděpodobně reakcí na odhalení jejich TTP ze strany Microsoft Threat Intelligence a dalších organizací.
- Nová spear-phishingová kampaň skupiny Star Blizzard představuje první známý případ, kdy tato skupina zneužila aplikaci WhatsApp jako cíl útoku. Přesto si však zachovává své obvyklé postupy: útočník zahajuje komunikaci prostřednictvím e-mailu, aby navázal kontakt s obětí, kde se vydává za známé politické nebo diplomatické osobnosti, aby zvýšil pravděpodobnost, že oběti na zprávu zareagují.
- Úvodní e-mail zaslaný obětem obsahuje QR kód, který má údajně vést k připojení do skupiny WhatsApp zaměřené na „nejnovější nevládní iniciativy na podporu ukrajinských organizací“. Tento kód je však záměrně nefunkční a nepřesměrovává na žádnou platnou doménu. Jeho skutečným účelem je vyvolat reakci od příjemce a přimět ho zapojit se do další komunikace s útočníkem (viz obrázek č.1).
- Po odpovědi příjemce na úvodní e-mail zašle Star Blizzard druhou zprávu obsahující zkrácený odkaz zabalený v Safe Links, prezentovaný jako alternativní možnost připojení ke skupině na WhatsAppu (viz obrázek č. 2). Po kliknutí na tento odkaz je oběť přesměrována na webovou stránku, kde je požádána o naskenování QR kódu pro připojení ke skupině. Tento QR kód však ve skutečnosti slouží k propojení účtu WhatsApp s dalším zařízením nebo webovým portálem WhatsApp. Pokud oběť pokyny na stránce splní, útočníci získají přístup k jejím zprávám na WhatsApp a mohou tato data exfiltrovat pomocí dostupných pluginů prohlížeče určených k exportu zpráv z účtu přístupného přes web WhatsApp (viz obrázek č. 3).
Obrázek č. 1: Spear-phishing Star Blizzard s poškozeným QR kódem (Microsoft)

Obrázek č. 2: Následný spear-phishingový e-mail Star Blizzard s odkazem URL (Microsoft)
Obrázek č. 3: Propojení QR kódu WhatsApp (Microsoft)

Komentář Cybule: Ačkoli byla tato kampaň omezená a zdánlivě ukončená na konci listopadu, představuje významný milník v dlouhodobých taktikách, technikách a postupech (TTP) skupiny Star Blizzard. Ukazuje jejich schopnost přizpůsobit se a pokračovat v útocích navzdory opakovaným zásahům a narušení jejich operací. Význam ostražitosti je třeba zdůraznit zejména pro uživatele působící v oblastech, na které se skupina Star Blizzard běžně zaměřuje. Mezi tyto oblasti patří vládní a diplomatičtí úředníci, a to jak současní, tak bývalí, výzkumní pracovníci zaměřující se na obrannou politiku nebo mezinárodní vztahy související s Ruskem a organizace poskytující pomoc Ukrajině v souvislosti s probíhajícím konfliktem. V případě podezřelé komunikace je zásadní vždy ověřit autenticitu e-mailu kontaktováním odesílatele prostřednictvím známé a dříve používané e-mailové adresy. Tento preventivní krok může významně snížit riziko úspěchu podobných útoků.
Kyberšpionáž v Kazachstánu: Ruská UAC-0063 znovu na scéně
(13.01.2025, Sekoia)
Ruská kyberšpionážní skupina UAC-0063, pravděpodobně propojená s APT28, zahájila novou kampaň zaměřenou na sběr ekonomických a politických informací ve Střední Asii. Prostřednictvím sofistifikovaných spearphishingových útoků a unikátního Double-Tap řetězce se útočníci zaměřili na vládní subjekty, diplomacii, akademickou sféru a další klíčové sektory v Kazachstánu.
HATVIBE řetězec (Sekoia)

Co potřebujete vědět:
- V listopadu 2024 byla odhalena kyberšpionážní kampaň vedená skupinou UAC-0063 (známá také jako Fancy Bear, Iron Twilight), jejíž hlavním cílem je sběr strategických zpravodajských informací, především o diplomatických vztazích mezi státy Střední Asie, se značným zřetelem na Kazachstán.
- Nejnovější série útoku zahrnuje využití legitimních dokumentů Microsoft Office pocházející z Ministerstva zahraničních věcí Republiky Kazachstán jako návnadu v rámci spearphihingových útoků. V rámci té je aktivován vícefázový řetězec infekce nazývaný Double-Tap, který distribuje malware HATVIBE. Není jasné, jak byly tyto dokumety získány, avšak je možné, že byly exfiltrovány během předchozí kampaně.
- Tyto dokumenty obsahují škodlivé makro, které po spuštění obětí vytvoří druhý prázdný dokument v umístění „C:\Users[USER]\AppData\Local\Temp“. Tento druhý dokument je automaticky otevřen v skryté instanci Wordu počátečním makrem, které pak spustí škodlivý HTA soubor obsahující VBS backdoor přezdívanýHATVIBE.
- HATVIBE funguje jako loader, který z vzdáleného serveru přijímá další VBS moduly k provedení, což nakonec umožňuje nasazení sofistikovaného Python backdooru pojmenovaného CHERRYSPY. Soubor HTA obsahující HATVIBE je navržen tak, aby se spouštěl po dobu čtyř minut pomocí nástroje mshta.exe. Kyber bezpečnostní společnosr Sekoia uvedla, že sled útoků HATVIBE vykazuje podobnosti s kampaněmi Zebrocy spojenými s APT28, což umožňuje s určitou mírou jistoty přiřadit cluster UAC-0063 k ruské hackerské skupině.
- Unikátnost tohoto řetězce infekce Double-Tap spočívá v použití řady triků k obcházení bezpečnostních řešení, jako je uložení skutečného škodlivého kódu makra do souboru settings.xml, vytvoření naplánované úlohy bez spuštění schtasks.exe u druhého dokumentu nebo využití anti-emulačního triku v prvním dokumentu, který zastaví makro, pokud je detekována manipulace s časem provedení.
Komentář Cybule: V posledních letech se Kazachstán stále více distancuje od Ruska a usiluje o hlubší ekonomické a strategické vztahy se západními mocnostmi a Čínou. Od ruské invaze na Ukrajinu v roce 2022 zastává tento středoasijský stát neutrální postoj, podporuje územní celistvost Ukrajiny, ale vyhýbá se přímé kritice Ruska. Tato diplomatická rovnováha umožňuje Kazachstánu posilovat svou mezinárodní pozici a otevírá nové ekonomické příležitosti, například v rámci tzv. „středního koridoru“ spojujícího Čínu a Evropu. Kybernetická špionážní kampaň odhalená v tomto kontextu pravděpodobně sleduje dva klíčové cíle. Prvním je získat strategické informace o politických a ekonomických vztazích Kazachstánu se západními a středoasijskými zeměmi. Druhým cílem je udržet Kazachstán v politickém souladu s Ruskem a čelit rostoucímu vlivu konkurenčních mocností v regionu. Rusko si je vědomo, že ztráta vlivu v Kazachstánu by znamenala ohrožení jeho dlouhodobé kontroly ve Střední Asii. Proto jsou podobné kyberšpionážní aktivity nejen snahou o posílení geopolitické dominance, ale i o zajištění ekonomických a strategických zájmů Moskvy v této klíčové oblasti.