微软周一宣布破坏了据信与俄罗斯政府有关的APT组织,切断了该组织对用于攻击前侦察、网络钓鱼和电子邮件收集账户的访问。
微软称,被命名为SEABORGIUM的APT组织至少自2017年以来一直在对欧洲和南高加索地区的军事人员、政府官员、智囊团和记者进行网络间谍攻击。
Redmond的安全研究和威胁搜寻团队与Microsoft安全团队合作,禁用OneDrive和其他与Microsoft相关的账户,并加强其Defender SmartScreen技术以阻止用于网络钓鱼的网络域。
在宣布切断网络的说明中,微软还披露了俄罗斯APT组织的恶意软件基础设施,并发布了IoC(威胁情报指标),以帮助防御者检测感染痕迹。
微软确认SEABORGIUM与Google(代号COLDRIVER)和F-Secure(代号Callisto Group)之前发布的文档有重叠,并警告说APT组织的目标和受害者与俄罗斯国家利益密切相关。
微软表示,该组织在包括持续网络钓鱼、凭证盗窃和数据盗窃在内的活动中滥用OneDrive服务和伪造的LinkedIn账户。
微软报告称,根据观察到的一些假冒和目标,我们怀疑攻击者使用社交媒体平台、个人目录和通用开源情报(OSINT)来补充他们的侦察工作。
MSTIC与LinkedIn合作,观察到归因于SEABORGIUM的欺诈性个人资料偶尔被用于对特定组织的员工进行侦察。LinkedIn终止了任何被认定为进行不真实或欺诈行为的账户。
除了在LinkedIn上进行侦察外,微软还抓获了攻击者注册的电子邮件账户,攻击者利用这些账户冒充个人进行网络钓鱼活动。
已观察到SEABORGIUM组织将恶意链接和PDF文件嵌入到网络钓鱼电子邮件的正文中,并使用OneDrive托管诱饵文件。
该组织还被发现使用被盗用的账户密码登录受害者电子邮件账户并从受感染的收件箱中窃取电子邮件和附件。
微软警告说,SEABORGIUM设置了从受害者收件箱到攻击者控制账户的转发规则,在这些账户中,攻击者可以长期访问所收集的数据。
微软称,“在不止一次的情况下,我们观察到攻击者能够访问敏感群体的邮件列表数据,例如前情报官员经常光顾的群体,并从邮件列表中收集信息以进行后续定位和渗漏。”
参考微软官方的技术分析报告:
https://www.microsoft.com/security/blog/2022/08/15/disrupting-seaborgiums-ongoing-phishing-operations/
,
