Центр разведки угроз Microsoft (MSTIC) заметил и принял меры по пресечению кампаний, запущенных SEABORGIUM - агентом, которого Microsoft отслеживает с 2017 года.
SEABORGIUM
SEABORGIUM - это угрожающий субъект, происходящий из России, цели и виктимология которого тесно связаны с российскими государственными интересами. Его кампании включают в себя постоянные фишинговые кампании и кампании по краже учетных данных, которые приводят к вторжениям и краже данных. Вторжения SEABORGIUM также связаны с кампаниями взлома и утечки, в ходе которых украденные и просочившиеся данные используются для формирования нарративов в целевых странах.
С начала 2022 года Microsoft наблюдала кампании SEABORGIUM, направленные на более чем 30 организаций, а также на личные аккаунты интересных людей. SEABORGIUM в первую очередь нацелена на страны НАТО, в частности США и Великобританию, а также иногда на другие страны Балтии, Северной и Восточной Европы.
В странах-мишенях SEABORGIUM в основном фокусирует свои операции на консалтинговых компаниях в области обороны и разведки, неправительственных организациях (НПО) и межправительственных организациях (МПО), аналитических центрах и высшем образовании. SEABORGIUM проявляет большой интерес и к частным лицам: 30% уведомлений от Microsoft, связанных с деятельностью SEABORGIUM, были доставлены на почтовые ящики потребителей Microsoft. Было замечено, что SEABORGIUM нацеливается на бывших сотрудников разведки, экспертов по российским делам и российских граждан за рубежом.
Перед началом кампании SEABORGIUM часто проводит разведку целевых лиц, уделяя особое внимание выявлению законных контактов в удаленной социальной сети или сфере влияния цели. Исходя из некоторых случаев выдавания себя за других лиц и нацеливания на них, мы подозреваем, что угрожающий субъект использует платформы социальных сетей, личные каталоги и общую разведывательную информацию из открытых источников (OSINT) для дополнения своих усилий по разведке. SEABORGIUM также регистрирует новые учетные записи электронной почты у различных провайдеров потребительской электронной почты, причем адрес электронной почты или псевдоним настраивается таким образом, чтобы соответствовать законным псевдонимам или именам выдаваемых за них лиц.
После регистрации новых аккаунтов SEABORGIUM приступает к установлению контакта со своей целью. Если цель отвечает, SEABORGIUM отправляет письмо с оружием в руках с целью сбора учетных данных. Было замечено, что SEABORGIUM использует украденные учетные данные для прямого входа в учетные записи электронной почты жертв.
Indicators of Compromise
Domains
- cache-dns.com
- cache-dns-forwarding.com
- cache-dns-preview.com
- cache-docs.com
- cache-pdf.com
- cache-pdf.online
- cache-services.live
- cloud-docs.com
- cloud-drive.live
- cloud-mail.online
- cloud-storage.live
- docs-cache.com
- docs-drive.online
- docs-forwarding.online
- docs-info.com
- docs-info.online
- docs-shared.com
- docs-shared.online
- docs-view.online
- document-forwarding.com
- document-online.live
- document-preview.com
- documents-cloud.com
- documents-cloud.online
- documents-forwarding.com
- document-share.live
- documents-online.live
- documents-pdf.online
- documents-preview.com
- documents-view.live
- document-view.live
- drive-docs.com
- drive-share.live
- goo-link.online
- hypertextteches.com
- mail-docs.online
- officeonline365.live
- online365-office.com
- onlinecloud365.live
- online-document.live
- online-storage.live
- pdf-cache.com
- pdf-cache.online
- pdf-cloud.online
- pdf-docs.online
- pdf-forwarding.online
- pdf-shared.online
- protection-checklinks.xyz
- protection-link.online
- protectionmail.online
- protection-office.live
- protect-link.online
- proton-docs.com
- proton-pdf.online
- proton-reader.com
- proton-view.online
- proton-viewer.com
- relogin-dashboard.online
- safe-connection.online
- safelinks-protect.live
- secureoffice.live
- webresources.live
- word-yand.live
- yandx-online.cloud
- y-ml.co