Microsoft wykrył wrogą kampanię. Phishing i kradzież danych z rosyjską flagą w tle

Zespół Microsoft Threat Intelligence Center (MSTIC) zaobserwował i podjął działania, by zakłócić kampanię grupy Seaborgium . To aktor, który znajduje się na celowniku Microsoft od 2017 roku; zajmuje się phishingiem, kradzieżą danych uwierzytelniających, włamaniami do systemu, a także kampaniami typu „hack-and-leak”, w których dane wykradzione lub pochodzące z wycieku służą później do kształtowania narracji w krajach, które są celem cyberprzestępców.

MSTIC oceniło również, że informacje gromadzone przez Seaborgium mogą wspierać szpiegostwo i operacje informacyjne, grupą nie kierują raczej motywacje finansowe.

Firma poinformowała także, że powiadomiła jej klientów w sprawie ewentualnego zagrożenia dla usługi OneDrive i wyłączyła konta, które mogły być używane przez grupę do phishingu i wykradania wiadomości mailowych. Wdrożono także mechanizm wykrywania domen, stworzonych przez Seaborgium, służących właśnie do tej operacji.

Cyberprzestępcy celują w państwa NATO

Grupa Seaborgium często atakuje te same organizacje przez dłuższy czas, stosując uporczywe ataki poprzez podszywanie się pod określone podmioty i [ stosowanie phishingu ](https://cyberdefence24.pl/cyberbezpieczenstwo/zalewa-nas-fala-zlosliwych-sms-ow-skala-phishingu-ciagle-rosnie). Rzadko ma ona zmieniać taktykę.

Od początku 2022 roku Microsoft miał śledzić działania cyberprzestępców, wymierzone w ponad 30 organizacji oraz w konta osobiste. Przede wszystkim prowadzą oni działania wobec krajów NATO, w szczególności wobec USA i Wielkiej Brytanii, od czasu do czasu atakują także państwa nadbaltyckie i ze wschodniej Europy. Celem był także sektor rządowy Ukrainy, w miesiącach poprzedzających inwazję Rosji, a także organizacje zaangażowane we wspieranie Ukrainy w wojnie. Mimo to, prawdopodobnie nasz sąsiad nie jest głównym celem wrogich działań tego aktora.

W krajach będących celem grupy atakowane są firmy konsultingowe, zajmujące się obronnością i wywiadem, organizacje pozarządowe (NGO) i międzyrządowe (IGO), think tanki i podmioty z sektora szkolnictwa wyższego. Ataki mają także dotyczyć w 1/3 osób fizycznych. Atakowani mają być m.in. byli funkcjonariusze wywiadu, eksperci od spraw rosyjskich i obywatele Rosji za granicą.

Jak działają cyberprzestępcy?

W swoim raporcie firma wskazuje, że przed rozpoczęciem kampanii cyberprzestępcy przeprowadzają analizę na temat wybranych celów, którymi są często osoby, pracujące w określonych organizacjach, wobec których ma być przeprowadzony atak. Wykorzystywane mają być do tego platformy mediów społecznościowych i technika OSINT (analiza na podstawie danych z otwartych źródeł).

Tworzone są często fałszywe profile w serwisie LinkedIN (konta zidentyfikowane jako nieautentyczne mają być przez platformę usuwane) oraz fikcyjne konta mailowe u różnych dostawców poczty z adresem pasującym do nazwisk osób, pod które podszywają się cyberprzestępcy. Następnie wysyłane są wiadomości, które mają nawiązać relację z ofiarą, dotyczą interesującego ją tematu, a w kolejnym kroku - wiadomości zawierające „nieistotny załącznik”, który w rzeczywistości jest wiadomością phishingową. Link, który ma służyć do wyłudzenia danych może być umieszczany w treści maila, w załączniku, bądź jako łącze OneDrive do pliku, który będzie zawierał link.

Jak się chronić?

Microsoft ma bezpośrednio powiadamiać klientów, korzystających z ich usług i kont, które zostały zaatakowane lub w jakiś sposób naruszone, dostarczając im informacje potrzebne do zabezpieczenia danych.

Firma rekomenduje również, by m.in. sprawdzić ustawienia swojej poczty w usłudze Office 365: czy blokowane są fałszywe wiadomości e-mail, spam lub te zawierające złośliwe oprogramowanie; czy stosowane jest uwierzytelnienie wieloskładnikowe (multi-factor authentication - MFA); czy korzystają oni z kluczy bezpieczeństwa lub Microsoft Authenticator; zalecane jest również unikanie metody MFA opartej na SMS-ach, by zmniejszyć ryzyko związane z przejęciem karty SIM.

Microsoft, by wykryć wrogie działania tego aktora, współpracowało z Google Threat Analysis Group (TAG) i z zespołem Proofpoint Threat Research Team.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].