Microsoft interrumpe la campaña multianual de espionaje cibernético del grupo ruso



El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) ha tomado medidas para interrumpir las operaciones de «Seabordium», un actor de amenazas con sede en Rusia que ha estado involucrado en persistentes campañas de spear-phishing y robo de credenciales dirigidas a organizaciones e individuos en países de la OTAN desde al menos 2017.

La principal motivación del actor de amenazas parece ser el espionaje cibernético. Sus víctimas incluyen numerosas organizaciones en las comunidades de defensa e inteligencia, organizaciones no gubernamentales, grupos de expertos, instituciones de educación top-quality y organizaciones intergubernamentales, principalmente en los EE. UU. y el Reino Unido. Microsoft dijo que ha identificado unas 30 organizaciones que han sido blanco de campañas de Seabordium solo en lo que va del año.

«Seaborgio tiene un alto interés en apuntar a individuos Además, el 30% de las notificaciones de estado-nación de Microsoft relacionadas con la actividad de Seabordium se envían a las cuentas de correo electrónico de los consumidores de Microsoft», dijo Microsoft en una publicación de weblog esta semana. Las personas objetivo incluyen ex funcionarios de inteligencia, expertos rusos y ciudadanos rusos fuera del país que son de interés para Moscú. La telemetría y las tácticas disponibles sugieren superposiciones entre Seaborgio y grupos de amenazas que otros están rastreando de diversas maneras como el Grupo Calisto, ríofríoy TA446, dijo Microsoft.

Seabordium es solo uno de los múltiples grupos con sede en Rusia que actualmente se dirigen a empresas estadounidenses en campañas de ciberespionaje. A principios de este año, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió sobre los actores rusos que roban sistemáticamente datos confidenciales, pero no clasificados, sobre el desarrollo de armas de EE. UU. y las tecnologías utilizadas por el ejército y el gobierno de EE. UU. La advertencia siguió a una de enero sobre la posibilidad de más ataques rusos contra objetivos estadounidenses en represalia por las sanciones lideradas por Estados Unidos por la guerra en Ucrania.

Suplantación de identidad sofisticada

En su publicación de blog, Microsoft describió a los actores de Seabordium utilizando en su mayoría las mismas tácticas de ingeniería social a lo largo de los años para intentar obtener un punto de apoyo inicial en una organización objetivo. Antes de lanzar una campaña, el actor de amenazas suele realizar una investigación exhaustiva sobre las personas objetivo para identificar sus contactos sociales y comerciales. La investigación a menudo involucró al actor de amenazas que united states of america plataformas de redes sociales, incluidos perfiles fraudulentos en LinkedIn, y la información disponible públicamente recopila información sobre personas de interés.

Luego, usaron la información para hacerse pasar por personas conocidas por el objetivo y los contactaron usando nuevas cuentas de correo electrónico con direcciones de correo electrónico o alias configurados para que coincidan con los nombres o alias de las personas suplantadas, dijo Microsoft. El tono del contacto inicial suele ser diferente dependiendo de si un individuo es un objetivo individual/consumidor o alguien que trabaja en una organización objetivo. En el caso de los primeros, los actores de Seabordium generalmente comenzaron con un correo electrónico benigno que intercambia bromas sobre temas de interés para el objetivo y hace referencia a un archivo adjunto inexistente. Microsoft supuso que el objetivo de adoptar este enfoque es possible que establezca una relación con un objetivo. Si el destinatario del correo electrónico de phishing responde, el actor de amenazas responde con un correo electrónico que contiene un enlace a su infraestructura de robo de credenciales.

Los correos electrónicos de phishing de Seabordium tienen un tono más empresarial y organizacional para las personas dentro de una organización objetivo. En estas situaciones, los actores de amenazas han mostrado una tendencia a adoptar un enfoque más autoritario al dirigir a los destinatarios de correo electrónico al sitio de robo de credenciales, por ejemplo, tomando señuelos con temas de seguridad cibernética. En la mayoría de las campañas, los actores de Seabordium han incrustado la URL de su sitio de robo de credenciales directamente en el cuerpo del correo electrónico, dijo Microsoft. Pero últimamente, el actor de amenazas también ha estado usando archivos PDF y archivos adjuntos que falsifican un documento o un servicio de alojamiento de archivos, a menudo OneDrive, para distribuir el enlace.

Uso de credenciales robadas para robar correos electrónicos y archivos adjuntos

Microsoft dijo que sus investigadores han observado a Seabordium usando credenciales robadas para iniciar sesión directamente en las cuentas de correo electrónico de las víctimas y robar sus correos electrónicos y archivos adjuntos. En algunos casos, también se ha observado al actor de amenazas configurando cuentas de correo electrónico de la víctima para reenviar correos electrónicos a direcciones controladas por el atacante.

«Ha habido varios casos en los que se ha observado a Seabordium usando sus cuentas de suplantación de identidad para facilitar el diálogo con personas específicas de interés y, como resultado, se incluyeron en conversaciones, a veces sin darse cuenta, que involucraban a varias partes», dijo Microsoft, y agregó que a menudo estas conversaciones han involucrado información potencialmente practical.

Bajo escrutinio

En lo que respecta a la interrupción, el gigante informático ahora ha deshabilitado las cuentas que los actores de Seabordium han estado usando para el reconocimiento de víctimas, el phishing y otras actividades maliciosas. Esto incluye varias cuentas de LinkedIn. También ha desarrollado detecciones para dominios de phishing asociados con Seabordium.

F-Safe, que se refiere al actor de amenazas como Callisto Team, ha sido seguimiento de sus actividades desde 2015. En un informe de 2017, el proveedor de seguridad describió a Callisto Team como un actor sofisticado que se dirige a gobiernos, periodistas y grupos de expertos en la UE y partes de Europa del Este. F-Safe había descrito las campañas del grupo como correos electrónicos de phishing selectivo altamente convincentes que a menudo se envían desde cuentas de correo electrónico legítimas a las que el actor de amenazas había obtenido acceso previamente, utilizando credenciales robadas.

Más recientemente, Google advirtió sobre el actor de amenazas en un actualización más amplia sobre actividad cibernética maliciosa en Europa del Este desde el comienzo de la guerra de Ucrania en febrero. La compañía dijo que había observado que ColdRiver, su nombre para Seabordium, continuaba usando cuentas de Gmail para enviar correos electrónicos de phishing de credenciales a cuentas de correo electrónico de Google y que no son de Google pertenecientes a políticos, funcionarios gubernamentales y de defensa, periodistas y grupos de expertos. «Las tácticas, técnicas y procedimientos (TTP) del grupo para estas campañas han cambiado ligeramente de incluir enlaces de phishing directamente en el correo electrónico, a también vincular archivos PDF y/o DOC alojados en Google Drive y Microsoft One particular Travel», dijo Google. Los archivos contenían un enlace a un dominio de phishing de credenciales, según Google.



Enlace a la noticia first