A Star Blizzard célzott spearphisingre használja a DarkSword-ot

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

A DarkSword körüli legfontosabb friss megfigyelések szerint a Star Blizzard, más néven TA446, már nemcsak a megszokott hitelesítőadat-halászati és befolyásolási technikáival dolgozik, hanem ezt az iPhone-ok ellen használható készletet is beemelte az eszköztárába. A Proofpoint ezt egy 2026. március 26-án észlelt, Atlantic Council meghívónak álcázott spearphishing hullámhoz kötötte, amely több kompromittált feladói címről indult, és pénzügyi, kormányzati, felsőoktatási, jogi és think tank célpontokat is érintett.

Ez a kampány azért figyelemre méltó, mert a levelek nem hagyományos rosszindulatú mellékletet tartalmaztak, hanem hivatkozást, és a szerveroldali szűrés úgy működött, hogy az automatizált elemzőrendszerek felé ártalmatlan PDF jelent meg, miközben a tényleges továbblépés valószínűleg csak iPhone-os böngészők esetén történt meg. Vagyis ugyanaz a link nem ugyanazt a tartalmat adta vissza mindenkinek. A művelet így nemcsak célzott volt, hanem detekciókerülésre optimalizált is.

1. ábra Spearphishing levél. Forrás: Proofpoint

Ami ebből stratégiai szempontból igazán fontos, az az, hogy a Star Blizzard ezzel láthatóan belépett az Apple-eszközök és iCloud-fiókok elleni célzott műveletek terébe. A Proofpoint szerint korábban nem figyeltek meg a csoportnál ilyen fókuszt, most viszont több technikai nyom is ebbe az irányba mutatott. Az egyik ilyen egy VirusTotalra feltöltött DarkSword-loader volt, amely egy, a csoporthoz köthető második fázisú domaint hivatkozott. Egy másik nyom az Urlscan oldali észlelés volt, ahol a TA446-hoz köthető infrastruktúrán megjelent az átirányító elem, a loader, a távoli kódfuttatási komponens és a PAC-bypass rész is. A teljes lánc minden fázisa nem volt közvetlenül megfigyelhető, de az összkép így is elég erős ahhoz, hogy a használatot a csoporthoz kössék.

Az új helyzet veszélyét nem az adja, hogy egy új, ismeretlen exploit jelent meg, hanem az, hogy egy kiszivárgott, fejlett mobilos támadási képesség milyen gyorsan bekerült egy jól ismert orosz operátor napi gyakorlatába. Ez azt jelzi, hogy a mobilos támadóképességek terjedése már nemcsak a fejlesztői oldalon gyors, hanem az operatív adaptáció oldalán is.

A történet valódi tanulsága ezért nem új technikai részletekben rejlik, hanem abban, hogy a DarkSword körüli friss fejlemények világosan megmutatták, miként válhat egy kiszivárgott, kifinomult exploitkészlet rendkívül rövid idő alatt állami kötődésű, célzott műveletek eszközévé.