SEABORGIUM IOCs

security IOC

Центр разведки угроз Microsoft (MSTIC) заметил и принял меры по пресечению кампаний, запущенных SEABORGIUM - агентом, которого Microsoft отслеживает с 2017 года.

SEABORGIUM

SEABORGIUM - это угрожающий субъект, происходящий из России, цели и виктимология которого тесно связаны с российскими государственными интересами. Его кампании включают в себя постоянные фишинговые кампании и кампании по краже учетных данных, которые приводят к вторжениям и краже данных. Вторжения SEABORGIUM также связаны с кампаниями взлома и утечки, в ходе которых украденные и просочившиеся данные используются для формирования нарративов в целевых странах.

С начала 2022 года Microsoft наблюдала кампании SEABORGIUM, направленные на более чем 30 организаций, а также на личные аккаунты интересных людей. SEABORGIUM в первую очередь нацелена на страны НАТО, в частности США и Великобританию, а также иногда на другие страны Балтии, Северной и Восточной Европы.
В странах-мишенях SEABORGIUM в основном фокусирует свои операции на консалтинговых компаниях в области обороны и разведки, неправительственных организациях (НПО) и межправительственных организациях (МПО), аналитических центрах и высшем образовании. SEABORGIUM проявляет большой интерес и к частным лицам: 30% уведомлений от Microsoft, связанных с деятельностью SEABORGIUM, были доставлены на почтовые ящики потребителей Microsoft. Было замечено, что SEABORGIUM нацеливается на бывших сотрудников разведки, экспертов по российским делам и российских граждан за рубежом.

Перед началом кампании SEABORGIUM часто проводит разведку целевых лиц, уделяя особое внимание выявлению законных контактов в удаленной социальной сети или сфере влияния цели. Исходя из некоторых случаев выдавания себя за других лиц и нацеливания на них, мы подозреваем, что угрожающий субъект использует платформы социальных сетей, личные каталоги и общую разведывательную информацию из открытых источников (OSINT) для дополнения своих усилий по разведке. SEABORGIUM также регистрирует новые учетные записи электронной почты у различных провайдеров потребительской электронной почты, причем адрес электронной почты или псевдоним настраивается таким образом, чтобы соответствовать законным псевдонимам или именам выдаваемых за них лиц.

После регистрации новых аккаунтов SEABORGIUM приступает к установлению контакта со своей целью. Если цель отвечает, SEABORGIUM отправляет письмо с оружием в руках с целью сбора учетных данных. Было замечено, что SEABORGIUM использует украденные учетные данные для прямого входа в учетные записи электронной почты жертв.

Indicators of Compromise

Domains

  • cache-dns.com
  • cache-dns-forwarding.com
  • cache-dns-preview.com
  • cache-docs.com
  • cache-pdf.com
  • cache-pdf.online
  • cache-services.live
  • cloud-docs.com
  • cloud-drive.live
  • cloud-mail.online
  • cloud-storage.live
  • docs-cache.com
  • docs-drive.online
  • docs-forwarding.online
  • docs-info.com
  • docs-info.online
  • docs-shared.com
  • docs-shared.online
  • docs-view.online
  • document-forwarding.com
  • document-online.live
  • document-preview.com
  • documents-cloud.com
  • documents-cloud.online
  • documents-forwarding.com
  • document-share.live
  • documents-online.live
  • documents-pdf.online
  • documents-preview.com
  • documents-view.live
  • document-view.live
  • drive-docs.com
  • drive-share.live
  • goo-link.online
  • hypertextteches.com
  • mail-docs.online
  • officeonline365.live
  • online365-office.com
  • onlinecloud365.live
  • online-document.live
  • online-storage.live
  • pdf-cache.com
  • pdf-cache.online
  • pdf-cloud.online
  • pdf-docs.online
  • pdf-forwarding.online
  • pdf-shared.online
  • protection-checklinks.xyz
  • protection-link.online
  • protectionmail.online
  • protection-office.live
  • protect-link.online
  • proton-docs.com
  • proton-pdf.online
  • proton-reader.com
  • proton-view.online
  • proton-viewer.com
  • relogin-dashboard.online
  • safe-connection.online
  • safelinks-protect.live
  • secureoffice.live
  • webresources.live
  • word-yand.live
  • yandx-online.cloud
  • y-ml.co
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий