BlueCharlie, zuvor als TAG-53 geführt, setzt 2023 weiterhin neue Infrastruktur ein
Die Insikt Group verfolgt die Bedrohungsaktivitätsgruppe BlueCharlie, die mit den Russland-Nexus-Gruppen Callisto/Calisto, COLDRIVER und Star Blizzard/SEABORGIUM in Verbindung steht. BlueCharlie, eine mit Russland verbundene Bedrohungsgruppe, die seit 2017 aktiv ist, konzentriert sich auf das Sammeln von Informationen für Spionage- und Hack-and-Leak-Operationen. BlueCharlie hat seine Taktiken, Techniken und Verfahren (TTPs) weiterentwickelt und eine neue Infrastruktur aufgebaut, was darauf schließen lässt, dass das Unternehmen sich geschickt an öffentliche Offenlegungen anpasst und die Betriebssicherheit verbessert. Die konkreten Opfer sind unbekannt, doch zu den Zielen in der Vergangenheit zählten Regierung, Verteidigung, Bildung, politische Sektoren, NGOs, Journalisten und Think Tanks.
Aufschlüsselung der in der BlueCharlie-Aktivität seit November 2022 verwendeten Begriffe
Kürzlich beobachtete die Insikt Group, wie BlueCharlie eine neue Infrastruktur aufbaute, die wahrscheinlich für Phishing-Kampagnen und/oder zum Abgreifen von Anmeldeinformationen genutzt wird und aus 94 neuen Domänen besteht. Mehrere der im Rahmen der jüngsten Operation beobachteten TTPs weichen von früheren Aktivitäten ab. Dies legt die Vermutung nahe, dass BlueCharlie seine Geschäftstätigkeit weiterentwickelt, möglicherweise als Reaktion auf die öffentliche Bekanntgabe seiner Geschäftstätigkeit in Branchenberichten. Seit der ersten Beobachtung der Gruppe durch die Insikt Group im September 2022 haben wir bei BlueCharlie mehrere TTP-Verschiebungen beobachtet. Diese Veränderungen zeigen, dass die Bedrohungsakteure über die Berichterstattung der Branche im Bilde sind und bei ihren Bemühungen, ihre Aktivitäten zu verschleiern oder zu modifizieren, um Sicherheitsforscher auszutricksen, ein gewisses Maß an Raffinesse an den Tag legen.
Um der Bedrohung durch BlueCharlie entgegenzuwirken, sollten Netzwerkverteidiger ihre Phishing-Abwehr verbessern, eine FIDO2-kompatible Multi-Faktor-Authentifizierung implementieren, Bedrohungsinformationen nutzen und Drittanbieter schulen. Der anhaltende Einsatz von Phishing durch BlueCharlie und seine historische Anpassung an die öffentliche Berichterstattung lassen darauf schließen, dass das Unternehmen auch weiterhin aktiv bleiben und seine Geschäftstätigkeit weiterentwickeln wird.
Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Anhang A – Indikatoren für eine Gefährdung
| BlueCharlie-Domänen: bittechllc[.]net centeritdefcity[.]com checkscreenit[.]com cloudcpanelhost[.]com clouddefsystems[.]com cloudrootstorage[.]com commandentrance[.]com computertechdirectsystems[.]com computingtechstudio[.]com configuregatewayglobal[.]com controlgatestorage[.]com controlsstoragedirect[.]com controlstoragesolutions[.]com cryptdatagate[.]com cryptoanalyzetech[.]com cryptotechdirect[.]com cryptothistech[.]com datagatellc[.]com datagatewayglobal[.]com datastoragecrypto[.]com definform[.]com deskactivitygm[.]com directdocumentgate[.]com directdocumentgateway[.]com directexpressgateway[.]com directstoragegate[.]com docsinfogate[.]com documentdirectllc[.]com documentdirectto[.]com entrywaycenter[.]com gateblurbrepository[.]com gatecryptospace[.]com gateinfosecure[.]com gatestoragetech[.]com gatewaydocsint[.]com gatewayitsol[.]com gatewayrecord[.]com gawecryptoinfosolutions[.]com getinfostarter[.]com incappcloud[.]com infocryptogate[.]com infogatestorage[.]com informationcoindata[.]com informationswitchsystems[.]com infostorageroute[.]com intelligencerepository[.]com itgatestorage[.]com itinfogate[.]com keepitlabgroup[.]com managercodepro[.]com meshgoin[.]com myitappnext[.]com myittechnext[.]com networkgoin[.]com oneinformationcrypto[.]com pdfdirectglobal[.]com pdfsecxcloudroute[.]com po.vatangate[.]com prodefendme[.]com prokeeperit[.]com protectedviews[.]com protectordocumentcenter[.]com realeasyconfiguregateway[.]com realitsolutionprimary[.]com safetydocsgateway[.]com secureglobaltele[.]com serverguarditweb[.]com shielditlabel[.]com shortinfoonline[.]com skycithereforeit[.]com Lösungenseccloud[.]com sourcedoorway[.]com sourcedoorways[.]com stateinfospace[.]com storagecryptogate[.]com storagecryptoweb[.]com storageinfogate[.]com storagekeeperinfopro[.]com storagekeeperinfotech[.]com storagerootconnect[.]com storagetruncservices[.]com storagetruncservices[.]com storagewarden[.]com suppdatacent[.]com Bedrohungscenterofreaserch[.]com transfer-dns[.]com truncstorage[.]com truncstorage[.]com webgateway[.]ru webgatewayenter[.]com webinterstellar[.]com yourdirectinfospace[.]com yourspaceprotector[.]com BlueCharlie IP-Adressen: 104.140.180[.]125 104.140.180[.]126 104.168.32[.]133 104.168.46[.]21 107.174.45[.]104 107.174.45[.]106 107.175.21[.]29 138.124.183[.]150 138.124.183[.]150 142.11.194[.]133 142.11.195[.]232 142.11.196[.]83 142.11.199[.]18 146.19.170[.]161 146.19.170[.]162 162.19.175[.]92 172.245.191[.]18 172.245.220[.]195 172.245.220[.]206 172.245.254[.]219 172.245.33[.]142 172.245.33[.]188 185.138.164[.]123 185.138.164[.]229 185.250.151[.]11 185.250.151[.]11 192.210.214[.]114 192.210.214[.]150 192.210.215[.]125 192.227.162[.]32 192.236.146[.]12 192.236.195[.]192 192.236.195[.]192 192.3.111[.]149 192.3.111[.]200 192.3.118[.]108 192.3.223[.]33 192.3.228[.]170 192.3.228[.]182 192.3.73[.]140 192.3.73[.]143 194.213.18[.]35 194.213.18[.]96 198.46.174[.]172 198.46.174[.]188 23.254.253[.]127 23.94.152[.]50 23.94.231[.]161 23.94.236[.]80 23.94.96[.]12 23.94.99[.]19 23.94.99[.]22 23.94.99[.]26 23.94.99[.]30 45.137.155[.]33 45.144.30[.]160 45.144.31[.]92 45.66.249[.]101 45.66.249[.]101 45.66.249[.]83 45.8.146[.]119 45.8.146[.]213 45.8.146[.]227 45.86.230[.]104 45.86.230[.]171 45.86.230[.]61 5.61.63[.]19 77.91.126[.]29 77.91.126[.]29 85.239.52[.]228 85.239.52[.]44 85.239.53[.]154 85.239.53[.]19 85.239.53[.]54 85.239.53[.]73 85.239.54[.]200 85.239.54[.]205 85.239.54[.]242 85.239.54[.]244 85.239.54[.]54 85.239.54[.]84 85.239.54[.]84 85.239.60[.]103 85.239.60[.]105 85.239.60[.]105 85.239.60[.]71 85.239.61[.]52 91.210.164[.]40 91.228.10[.]45 91.231.186[.]105 91.231.186[.]33 94.131.8[.]189 95.164.18[.]80 |
Verwandt