O Centro de Inteligência de Ameaças da Microsoft (MSTIC) tomou medidas para interromper as operações do “Seaborgium”, um agente de ameaças baseado na Rússia que está envolvido em campanhas persistentes de spear phishing e roubo de credenciais destinadas a organizações e indivíduos nos países da OTAN desde pelo menos 2017.
A principal motivação do agente da ameaça parece ser a espionagem cibernética. Suas vítimas incluem inúmeras organizações nas comunidades de defesa e inteligência, organizações não governamentais, grupos de reflexão, instituições de ensino superior e organizações intergovernamentais, principalmente nos EUA e no Reino Unido. A Microsoft disse que identificou cerca de 30 organizações que foram alvo de campanhas Seaborgium até agora apenas este ano.
“O Seaborgium tem um grande interesse em atingir indivíduos também, com 30% das notificações de estado-nação da Microsoft relacionadas à atividade do Seaborgium sendo entregues às contas de e-mail de consumidores da Microsoft”, disse a Microsoft em um post no blog esta semana. Indivíduos visados incluem ex-funcionários de inteligência, especialistas russos e cidadãos russos fora do país que são de interesse de Moscou. A telemetria e as táticas disponíveis sugerem sobreposições entre Seaborgium e grupos de ameaças que outros estão rastreando como Callisto Group, ColdRiver e TA446, disse a Microsoft.
O Seaborgium é apenas um dos vários grupos com sede na Rússia que atualmente têm como alvo empresas americanas em campanhas de espionagem cibernética. No início deste ano, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre os atores russos que roubam sistematicamente dados confidenciais, mas não classificados, sobre o desenvolvimento de armas e tecnologias dos EUA usadas pelos militares e pelo governo dos EUA. O alerta seguiu um de janeiro sobre o potencial de mais ataques russos a alvos dos EUA em retaliação às sanções lideradas pelos EUA sobre a guerra na Ucrânia.
Representação sofisticada
Em sua postagem no blog, a Microsoft descreveu os atores do Seaborgium como usando principalmente as mesmas táticas de engenharia social ao longo dos anos para tentar obter uma posição inicial em uma organização-alvo. Antes de lançar uma campanha, o agente da ameaça normalmente conduz uma extensa pesquisa sobre indivíduos-alvo para identificar seus contatos sociais e comerciais. A pesquisa geralmente envolve o agente da ameaça usando plataformas de mídia social – incluindo perfis fraudulentos no LinkedIn – e informações publicamente disponíveis coletam informações sobre indivíduos de interesse.
Eles então usaram as informações para se passar por indivíduos conhecidos do alvo e os contataram usando novas contas de e-mail com endereços de e-mail ou aliases configurados para corresponder aos nomes ou aliases dos indivíduos personificados, disse a Microsoft. O tom do contato inicial geralmente é diferente dependendo se um indivíduo é um alvo pessoal/consumidor ou alguém que trabalha em uma organização alvo. No caso do primeiro, os atores do Seaborgium normalmente começam com um e-mail benigno que troca gentilezas sobre tópicos de interesse do alvo e faz referência a um anexo inexistente. A Microsoft supôs que o objetivo de adotar essa abordagem provavelmente estabelecerá um relacionamento com um alvo. Se o destinatário do e-mail de phishing responder, o agente da ameaça responderá com um e-mail contendo um link para sua infraestrutura de roubo de credenciais.
Os e-mails de phishing da Seaborgium têm um tom mais empresarial e organizacional para indivíduos dentro de uma organização-alvo. Nessas situações, os agentes de ameaças mostraram uma tendência a adotar uma abordagem mais autoritária ao direcionar os destinatários de e-mail para o site de roubo de credenciais – por exemplo, pegando iscas com temas de segurança cibernética. Na maioria das campanhas, os atores do Seaborgium incorporaram a URL ao site de roubo de credenciais diretamente no próprio corpo do e-mail, disse a Microsoft. Mas ultimamente, o agente da ameaça também tem usado arquivos PDF e anexos falsificando um documento ou serviço de hospedagem de arquivos – geralmente OneDrive – para distribuir o link.
Usando credenciais roubadas para roubar e-mails e anexos
A Microsoft disse que seus pesquisadores observaram o Seaborgium usando credenciais roubadas para fazer login diretamente nas contas de e-mail das vítimas e roubar seus e-mails e anexos. Em alguns casos, o agente da ameaça também foi observado configurando as contas de e-mail da vítima para encaminhar e-mails para endereços controlados pelo invasor.
“Houve vários casos em que Seaborgium foi observado usando suas contas de representação para facilitar o diálogo com pessoas específicas de interesse e, como resultado, foram incluídos em conversas, às vezes involuntariamente, envolvendo várias partes”, disse a Microsoft, acrescentando que muitas vezes essas conversas envolveram informações potencialmente confidenciais.
Sob escrutínio
No que diz respeito à interrupção, a gigante da computação agora desativou as contas que os atores do Seaborgium estavam usando para reconhecimento de vítimas, phishing e outras atividades maliciosas. Isso inclui várias contas do LinkedIn. Também desenvolveu detecções para domínios de phishing associados ao Seaborgium.
A F-Secure, que se refere ao agente da ameaça como Callisto Group, acompanha suas atividades desde 2015 . Em um relatório de 2017, o fornecedor de segurança descreveu o Callisto Group como um ator sofisticado visando governos, jornalistas e grupos de reflexão na UE e em partes da Europa Oriental. A F-Secure descreveu as campanhas do grupo como envolvendo e-mails de spear phishing altamente convincentes, muitas vezes enviados de contas de e-mail legítimas às quais o agente da ameaça havia obtido acesso anteriormente, usando credenciais roubadas.
Mais recentemente, o Google alertou sobre o agente da ameaça em uma atualização mais ampla sobre atividades cibernéticas maliciosas na Europa Oriental desde o início da guerra na Ucrânia em fevereiro. A empresa disse que observou o ColdRiver – seu nome para Seaborgium – continuando a usar contas do Gmail para enviar e-mails de phishing de credenciais para contas de e-mail do Google e não pertencentes ao Google pertencentes a políticos, funcionários da defesa e do governo, jornalistas e grupos de reflexão. “As táticas, técnicas e procedimentos (TTPs) do grupo para essas campanhas mudaram um pouco da inclusão de links de phishing diretamente no e-mail para também links para PDFs e/ou DOCs hospedados no Google Drive e Microsoft One Drive”, disse o Google. Os arquivos continham um link para um domínio de phishing de credenciais, de acordo com o Google.
Fonte: Dark Reading
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
