微软破坏了 SEABORGIUM 的网络钓鱼操作

Hackernews 编译，转载请注明出处：

微软威胁情报中心（MSTIC）破坏了SEABORGIUM（又名ColdRiver，TA446）的活动，SEABORGIUM是一家与俄罗斯有关的黑客组织，他发起了针对北约国家人员和组织的持续黑客攻击活动。

SEABORGIUM自2017年以来一直很活跃，其活动涉及持续的网络钓鱼和凭证盗窃活动，导致入侵和数据盗窃。APT主要针对北约国家，但专家们还观察到针对波罗的海、北欧和东欧地区（包括乌克兰）的行动。

SEABORGIUM集团主要专注于国防和情报咨询公司、非政府组织和政府间组织、智库和高等教育。该组织还针对前情报官员，俄罗斯事务专家和海外俄罗斯公民。

SEABORGIUM的活动始于目标个人的侦察活动，重点是识别他们在社交网络或势力范围内的联系人。

微软发布的帖子写道：“根据观察到的一些模拟和目标，我们怀疑黑客使用社交媒体平台、个人目录和通用开源情报（OSINT）来完善他们的侦察工作。MSTIC与LinkedIn合作，发现SEABORGIUM的欺诈性个人资料偶尔被用于对特定利益组织的员工进行侦察。”

黑客使用虚假身份与目标个人联系，并开始与他们对话，以建立关系并诱使他们打开通过网络钓鱼邮件发送的附件。

网络钓鱼邮件使用PDF附件，在某些情况下，还包括指向文件、文档托管服务的链接，或托管PDF文档的OneDrive帐户的链接。

打开PDF文件后，会显示一条消息，说明无法查看该文档，他们需要单击按钮重试。

单击该按钮，受害者将被重定向到运行网络钓鱼框架（如EvilGinx）的登录页面，该页面显示合法提供商的登录页面并拦截任何凭据。在获取凭据后，受害者会被重定向到网站或文档，以避免引起怀疑。

一旦攻击者获得了对目标电子邮件帐户的访问权限，他们就会泄露情报数据（电子邮件和附件），或设置从受害者收件箱到参与者控制的秘密传递帐户的转发规则。

微软证实，它已采取行动，通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏SEABORGIUM的运营。这家IT巨头还为该黑客组织分享了IOCs，其中包括APT在其网络钓鱼活动中使用的60多个域的列表。

可以在Microsoft的公告中找到完整的域列表，以及网络防御者可以用来防止类似攻击的安全措施。

防御措施包括禁用Microsoft 365中的电子邮件自动转发，使用IOC调查潜在的危害，要求对所有帐户进行MFA，以及使用FIDO安全密钥来提高安全性。

微软还发布了Azure Sentinel搜索查询[1, 2]，可用于检查恶意活动。

消息来源：securityaffairs，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文