Hackernews 编译,转载请注明出处:
微软威胁情报中心(MSTIC)破坏了SEABORGIUM(又名ColdRiver,TA446)的活动,SEABORGIUM是一家与俄罗斯有关的黑客组织,他发起了针对北约国家人员和组织的持续黑客攻击活动。
SEABORGIUM自2017年以来一直很活跃,其活动涉及持续的网络钓鱼和凭证盗窃活动,导致入侵和数据盗窃。APT主要针对北约国家,但专家们还观察到针对波罗的海、北欧和东欧地区(包括乌克兰)的行动。
SEABORGIUM集团主要专注于国防和情报咨询公司、非政府组织和政府间组织、智库和高等教育。该组织还针对前情报官员,俄罗斯事务专家和海外俄罗斯公民。
SEABORGIUM的活动始于目标个人的侦察活动,重点是识别他们在社交网络或势力范围内的联系人。
微软发布的帖子写道:“根据观察到的一些模拟和目标,我们怀疑黑客使用社交媒体平台、个人目录和通用开源情报(OSINT)来完善他们的侦察工作。MSTIC与LinkedIn合作,发现SEABORGIUM的欺诈性个人资料偶尔被用于对特定利益组织的员工进行侦察。”
黑客使用虚假身份与目标个人联系,并开始与他们对话,以建立关系并诱使他们打开通过网络钓鱼邮件发送的附件。
网络钓鱼邮件使用PDF附件,在某些情况下,还包括指向文件、文档托管服务的链接,或托管PDF文档的OneDrive帐户的链接。
打开PDF文件后,会显示一条消息,说明无法查看该文档,他们需要单击按钮重试。
单击该按钮,受害者将被重定向到运行网络钓鱼框架(如EvilGinx)的登录页面,该页面显示合法提供商的登录页面并拦截任何凭据。在获取凭据后,受害者会被重定向到网站或文档,以避免引起怀疑。
一旦攻击者获得了对目标电子邮件帐户的访问权限,他们就会泄露情报数据(电子邮件和附件),或设置从受害者收件箱到参与者控制的秘密传递帐户的转发规则。
微软证实,它已采取行动,通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏SEABORGIUM的运营。这家IT巨头还为该黑客组织分享了IOCs,其中包括APT在其网络钓鱼活动中使用的60多个域的列表。
可以在Microsoft的公告中找到完整的域列表,以及网络防御者可以用来防止类似攻击的安全措施。
防御措施包括禁用Microsoft 365中的电子邮件自动转发,使用IOC调查潜在的危害,要求对所有帐户进行MFA,以及使用FIDO安全密钥来提高安全性。
微软还发布了Azure Sentinel搜索查询[1, 2],可用于检查恶意活动。
消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文