微软破坏了与俄罗斯有关的 APT SEABORGIUM 针对北约国家进行的黑客行动。
Microsoft 威胁情报中心 (MSTIC) 扰乱了 SEABORGIUM(又名ColdRiver,TA446)的活动,这是一个与俄罗斯有关的威胁行为者,是针对北约国家个人和组织的持续黑客活动的幕后黑手。
SEABORGIUM 至少自 2017 年以来一直活跃,其活动涉及持续的网络钓鱼和凭据盗窃活动,导致入侵和数据盗窃。APT 主要针对北约国家,但专家也观察到针对波罗的海、北欧和东欧地区(包括乌克兰)的活动。
SEABORGIUM 集团主要专注于国防和情报咨询公司、非政府组织 (NGO) 和政府间组织 (IGO)、智囊团和高等教育。
该组织还针对前情报官员、俄罗斯事务专家和国外的俄罗斯公民。
SEABORGIUM 的活动始于对目标个人的侦察活动,重点是识别他们在社交网络上的联系人或影响范围。
“根据观察到的一些假冒和目标,我们怀疑威胁参与者使用社交媒体平台、个人目录和通用开源情报 (OSINT) 来补充他们的侦察工作。” 阅读微软发布的帖子。 “MSTIC 与 LinkedIn 合作,观察到 SEABORGIUM 的欺诈性个人资料偶尔被用于对特定组织的员工进行侦察。“
威胁行为者使用虚假身份联系目标个人并与他们开始对话以建立关系并诱骗他们打开通过网络钓鱼邮件发送的附件
网络钓鱼邮件使用 PDF 附件,在某些情况下,它们包括指向文件或文档托管服务或托管 PDF 文档的 OneDrive 帐户的链接。
打开 PDF 文件后,将显示一条消息,指出无法查看该文档,他们应该单击按钮重试。
单击该按钮,受害者将被重定向到运行网络钓鱼框架(例如 EvilGinx)的登录页面,该页面显示合法提供商的登录页面并拦截任何凭据
捕获凭据后,受害者将被重定向到网站或文档以避免引起怀疑。
一旦攻击者获得了对目标电子邮件帐户的访问权限,他们就会窃取情报数据(电子邮件和附件)或设置从受害者收件箱到攻击者控制的死投帐户的转发规则。
在一些情况下,已经观察到 SEABORGIUM 使用他们的模拟帐户来促进与特定感兴趣的人的对话。
微软确认已采取行动,通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏 SEABORGIUM 的运营。这家 IT 巨头还分享了该威胁参与者的入侵指标 (IOC),其中包括 APT 在其网络钓鱼活动中使用的 60 多个域的列表。
完整的域列表可以在 Microsoft 的公告中找到,以及网络防御者可以用来防止类似攻击的保护措施。
防御措施包括在 Microsoft 365 中禁用电子邮件自动转发,使用 IOC 调查潜在的危害,要求对所有帐户进行 MFA,以及为了提高安全性,需要 FIDO 安全密钥。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软阻止了SEABORGIUM正在进行的网络钓鱼操作
