مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) هشداری در مورد یک کمپین فیشینگ به نام “SEABORGIUM” داده است. اگرچه حداقل از سال 2017 تاکنون جدید نیست، اما مایکروسافت احساس میکند به اندازه کافی SEABORGIUM و روشهای عملکرد آن را برای ارائه یک راهنمایی جامع که میتواند به قربانیان احتمالی کمک کند از آن اجتناب کنند، مشاهده کرده است.
نکته خطرناک در مورد کمپین نحوه شروع حمله توسط عوامل تهدید است. در ابتدا، دیده شده که آنها با استفاده از پروفایل های شبکه های اجتماعی جعلی اقدام به شناسایی یا مشاهده کامل قربانیان احتمالی می کنند و چندین آدرس ایمیل نیز برای جعل هویت واقعی افراد معتبر برای تماس با اهداف ایجاد شده است. در زیر نمونه ای از ایمیلی است که اخیراً توسط عوامل تهدید به هدف جلب اعتماد و ایجاد رابطه ارسال شده است:
پس از آن، مایکروسافت میگوید که بازیگران SEABORGIUM آدرس URLهای مخرب را مستقیماً در ایمیل یا از طریق پیوستهایی، ارائه میکنند، که اغلب از خدمات میزبانی مانند OneDrive خود مایکروسافت تقلید میکنند. مایکروسافت به استفاده از کیت فیشینگ EvilGinx در این مورد برای سرقت اطلاعات هویتی قربانیان اشاره کرده است. تصویر زیر پورتال فیشینگ را نشان می دهد که توسط SEABORGIUM برای فریب قربانیان به سرقت اطلاعات ورود آنها طراحی شده است.
در این کمپین کلی SEABORGIUM، مایکروسافت عمدتاً استخراج داده ها و عملیات اطلاعات را مشاهده کرده است. غول ردموند تأثیر اولی را به تفصیل توضیح داده است:
برداشت و تاثیر داده ها
- استخراج دادههای اطلاعاتی: SEABORGIUM در حال استخراج ایمیلها و پیوستها از صندوق ورودی قربانیان مشاهده شده است.
- راهاندازی جمعآوری دائمی دادهها: در موارد محدودی، SEABORGIUM مشاهده شده که قوانین ارسال را از صندوقهای ورودی قربانی به حسابهای دراپ مرده کنترلشده توسط بازیگر تنظیم میکند که در آن بازیگر دسترسی طولانیمدت به دادههای جمعآوریشده دارد. در بیش از یک بار مشاهده کردهایم که بازیگران میتوانستند به دادههای فهرست پستی برای گروههای حساس، مانند آنهایی که مقامات اطلاعاتی سابق به آنها مراجعه میکردند، دسترسی داشته باشند، و مجموعهای از اطلاعات را از فهرست پستی برای هدفیابی و هدفگیری بعدی نگهداری کنند. اکسفیلتراسیون
- دسترسی به افراد مورد علاقه: موارد متعددی مشاهده شده است که SEABORGIUM با استفاده از حسابهای جعل هویت خود برای تسهیل گفتگو با افراد خاص مورد علاقه و در نتیجه، در مکالمات، گاهی اوقات ناخواسته، شامل چندین طرف شرکت میشود. ماهیت مکالمات شناسایی شده در طول تحقیقات توسط مایکروسافت نشان می دهد که اطلاعات بالقوه حساسی در حال به اشتراک گذاشته شدن است که می تواند ارزش اطلاعاتی ایجاد کند.