Microsoft Threat Intelligence Center опубликовал расследование о Seaborgium или «крайне стойком субъекте угрозы». Компания утверждает, что она происходит из России и нацелена в большей степени на людей и организации из стран НАТО.
«Microsoft изучила и приняла меры для борьбы с кампаниями, запущенными Seaborgium, злоумышленником российского происхождения, чьи цели находятся близко к государственным интересам РФ», — сообщают авторы расследования.
Кибератаки Seaborgium осуществляются путём фишинговых операций, кражи учётных данных и информации, взлома и публикации данных для формирования информационной картины в определённых странах. Аналитики отмечают, что они чаще направлены против консалтинговых компаний в сфере обороны и изучения разведданных, негосударственных организаций, межправительственных структур, экспертных центров и организаций высшего образования.
В Microsoft заявили, что Seaborgium с начала года нацелена на более чем 30 организаций и личных аккаунтов людей из стран Североатлантического альянса, в большей степени из США, Великобритании, стран Балтии, Северной и Восточной Европы. Атаки также могли совершаться на структуры Украины. Microsoft отслеживает угрозу с 2017 года. Корпорация сотрудничала с Google Threat Analysis Group (TAG) и Proofpoint Threat Research Team для пресечения киберугроз.
Как отмечают аналитики, Seaborgium пересекается с группами угроз, отслеживаемыми как Callisto Group (F-Secure), TA446 (Proofpoint) и COLDRIVER (Google).
Перед началом кампании Seaborgium вычисляет цели, уделяя особое внимание соцсетям. Субъект угрозы использует платформы социальных сетей, личные каталоги и общие разведывательные данные с открытым исходным кодом (OSINT). В частности, Seaborgium применял мошеннические профили в LinkedIn.
Также субъект угроз регистрирует новые учётные записи электронной почты у различных провайдеров, при этом их адреса или псевдонимы копируют данные сотрудников компаний. Затем устанавливается контакт с целевым работником путём социальной инженерии.
После этого Seaborgium отправляет сообщения с вредоносными вложениями (URL-адрес). Обычно субъект угроз использует OneDrive для размещения PDF-файлов, на которые ведёт вредоносная ссылка.
Когда человек переходит по ссылке, его направляют на контролируемый субъектом сервер, где размещена фишинговая платформа, чаще всего EvilGinx. После захвата учётных данных человека перенаправляют на веб-сайт или документ для завершения взаимодействия.
Seaborgium использует украденные учётные данные и входит в аккаунты электронной почты жертв. Там собираются данные, настраивается их переадресация, а также открывается доступ к контактам жертвы.
Microsoft рекомендует клиентам:
проверить настройки фильтрации электронной почты Office 365, чтобы убедиться, что поддельные электронные письма, спам и электронные письма с вредоносными программами заблокированы;
настроить Office 365, чтобы отключить автоматическую переадресацию электронной почты;
использовать включённые индикаторы компрометации, чтобы выяснить, существуют ли они в среде, и оценить потенциальное вторжение;
просмотреть все действия по проверке подлинности для инфраструктуры удалённого доступа, уделив особое внимание учётным записям с однофакторной аутентификацией;
включить многофакторную аутентификацию (MFA) для всех пользователей, включая предполагаемые доверенные среды и всю инфраструктуру с выходом в Интернет, даже из локальных систем;
использовать более безопасные реализации, такие как токены FIDO или Microsoft Authenticator с сопоставлением номеров. Избегать методов MFA на основе телефонии.
Для клиентов Microsoft Defender в Office 365 рекомендуется:
использовать Microsoft Defender для усиленной защиты от фишинга и новых угроз, а также полиморфных вариантов атак;
включить автоматическую очистку нулевого часа (ZAP) в Office 365, чтобы помещать в карантин почту, отправленную в ответ на недавно полученную информацию об угрозах, и задним числом нейтрализовать вредоносный фишинг, спам или вредоносное ПО, уже доставленное в почтовые ящики;
настроить Defender для Office 365 для повторной проверки ссылок при нажатии. Безопасные ссылки обеспечивают сканирование URL-адресов и перезапись входящих сообщений электронной почты в почтовом потоке, а также проверку URL-адресов и ссылок в сообщениях электронной почты, других приложениях Office, таких как Teams, и других расположениях, таких как SharePoint Online;
использовать симулятор атак в Microsoft Defender для Office 365, чтобы запускать реалистичные, но безопасные кампании. Запустить моделирование целевого фишинга, чтобы обучить конечных пользователей не нажимать URL-адреса в нежелательных сообщениях и не раскрывать свои учётные данные.
В мае исследователи кибербезопасности сообщили, что во всех версиях Microsoft Office с 2016 по 2021 и Office 365 присутствует серьёзная уязвимость нулевого дня, с помощью которой злоумышленник может удалённо запустить произвольный код. Они также опубликовали подтверждения эксплуатации этой уязвимости. В июне Microsoft выпустила обновления для Windows 10 и 11 против критической уязвимости нулевого дня в MS Office.
