微软威胁情报中心 (MSTIC) 破坏了一项黑客和社会工程行动,该行动与被追踪为 SEABORGIUM 的俄罗斯威胁行为者有关,该攻击者以北约国家的个人和组织为目标。
微软表示,SEABORGIUM(也称为 Google 的 ColdRiver 和 Proofpoint 的 TA446)主要针对北约国家,但在波罗的海、北欧和东欧地区(包括乌克兰)也出现了攻击活动。
被认为是俄罗斯国家支持的黑客组织,威胁行为者试图从俄罗斯感兴趣的组织和人员那里窃取敏感电子邮件
“在目标国家,SEABORGIUM 主要集中在国防和情报咨询公司、非政府组织 (NGO) 和政府间组织 (IGO)、智囊团和高等教育方面开展业务,”微软在今天发布的一份报告中解释道。
“已观察到 SEABORGIUM 针对前情报官员、俄罗斯事务专家和国外的俄罗斯公民。”
社会工程学导致电子邮件盗窃
SEABORGIUM 通过电子邮件、社交媒体和 LinkedIn 帐户创建在线角色,用于针对目标个人和组织的社会工程活动。
使用虚假角色,威胁参与者联系感兴趣的个人以进行对话并建立融洽关系,最终导致发送网络钓鱼附件。
微软表示,他们已经看到威胁参与者通过电子邮件分发附件,并附有 PDF、文件托管服务链接或托管 PDF 文档的 OneDrive 帐户。
SEABORGIUM 黑客发送的网络钓鱼电子邮件示例
来源:微软
无论威胁参与者如何分发 PDF,一旦打开,附件都会向受害者显示一条消息,指出无法查看该文档,他们应该单击按钮重试。
攻击中使用的钓鱼 PDF
来源:微软
单击此按钮会将受害者带到运行网络钓鱼框架(例如 EvilGinx)的登录页面,该页面会显示特定服务的登录表单。
但是,由于 EvilGinx 充当代理,攻击者可以窃取用户登录其帐户后生成的输入凭据和身份验证 cookie/令牌。
即使启用了 2FA,这些被盗的身份验证令牌也允许攻击者登录受感染用户的帐户。
一旦黑客获得对目标电子邮件帐户的访问权限,微软表示他们要么窃取电子邮件和附件,要么设置转发规则以接收发送到受感染帐户的所有新电子邮件。
微软还看到威胁参与者使用被入侵的帐户作为受害者与其他感兴趣的人进行对话,以获取敏感信息的访问权限。
2022 年 5 月,谷歌和微软检测到威胁行为者为窃取英国政治组织和活动家的文件而进行的攻击。
在微软看到的活动中,SEABORGIUM 窃取了英国政治组织的文件,然后在社交媒体和 PDF 共享网站上分发。
在路透社 和谷歌披露的一次攻击中,SEABORGIUM 窃取了支持英国退欧活动人士的电子邮件和文件,然后在网上泄露。
破坏海底世界
今天,微软表示他们已采取行动,通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏 SEABORGIUM 的活动。
Microsoft 还共享了 69 个域,这些域被认为与威胁参与者的网络钓鱼活动有关,这些活动用于窃取 Microsoft、ProtonMail 和 Yandex 帐户的凭据。
完整的域列表可以在 Microsoft 的公告中找到,以及网络防御者可以用来防止类似攻击的保护措施。
防御措施包括在 Microsoft 365 中禁用电子邮件自动转发,使用 IOC 调查潜在的危害,要求对所有帐户进行 MFA,以及为了提高安全性,需要 FIDO 安全密钥。
Microsoft 还发布了可用于检查恶意活动的Azure Sentinel 狩猎查询 [1、2 ] 。
