天天即時：微軟宣布破壞針對北約網(wǎng)絡(luò)攻擊的俄羅斯APT組織

微軟周一宣布對與俄羅斯政府有關(guān)的 APT 組織進行另一次重大破壞，切斷了對用于攻擊前偵察、網(wǎng)絡(luò)釣魚和電子郵件收集的賬戶的訪問。被微軟認(rèn)定為 SEABORGIUM 。

據(jù)悉， SEABORGIUM 至少自 2017 年以來一直活躍，其活動涉及持續(xù)的網(wǎng)絡(luò)釣魚和憑據(jù)盜竊活動，導(dǎo)致入侵和數(shù)據(jù)盜竊。APT 主要針對北約國家，但專家也觀察到針對波羅的海、北歐和東歐地區(qū)（包括烏克蘭）的活動。主要專注于國防和情報咨詢公司、非政府組織 (NGO) 和政府間組織 (IGO)和高等教育。

(資料圖片)

Redmond 的安全研究和威脅搜尋團隊與 Microsoft 的濫用團隊合作，禁用 OneDrive 和其他與 Microsoft 相關(guān)的賬戶，并加強其 Defender SmartScreen 技術(shù)以阻止網(wǎng)絡(luò)釣魚域。

在宣布中斷的說明中，微軟還暴露了俄羅斯威脅行為者的惡意軟件基礎(chǔ)設(shè)施，并發(fā)布了 IoC（妥協(xié)指標(biāo)），以幫助防御者尋找感染跡象。

基于 IOC 和參與者策略，微軟確認(rèn) SEABORGIUM 與 Google（代號 COLDRIVER ）和 F-Secure（代號 Callisto Group ）之前發(fā)布的文檔有重疊，并警告說 APT 組織的目標(biāo)和受害者與俄羅斯國家利益密切相關(guān)。

微軟表示，該組織在包括持續(xù)網(wǎng)絡(luò)釣魚、憑證盜竊和數(shù)據(jù)盜竊在內(nèi)的活動中濫用 OneDrive 服務(wù)和偽造的 LinkedIn 賬戶。

來自 微軟的文檔：

根據(jù)觀察到的一些假冒和目標(biāo)，我們懷疑威脅參與者使用社交媒體平臺、個人目錄和通用開源情報 (OSINT) 來補充他們的偵察工作。

MSTIC 與 LinkedIn 合作，觀察到歸因于 SEABORGIUM 的欺詐性個人資料偶爾被用于對特定組織的員工進行偵察。根據(jù)他們的政策，LinkedIn 終止了任何被認(rèn)定為進行不真實或欺詐行為的賬戶。

除了在 LinkedIn 上進行偵察外，微軟還抓獲了威脅行為者在消費者電子郵件提供商處注冊電子郵件賬戶的具體目的，即冒充個人進行附加網(wǎng)絡(luò)釣魚誘餌。

已觀察到 SEABORGIUM 攻擊者將惡意鏈接和 PDF 文件嵌入到網(wǎng)絡(luò)釣魚電子郵件的正文中，并使用 OneDrive 托管誘殺文件。

單擊該按鈕，受害者將被重定向到運行網(wǎng)絡(luò)釣魚框架（例如 EvilGinx）的登錄頁面，該頁面顯示合法提供商的登錄頁面并攔截任何憑據(jù)

捕獲憑據(jù)后，受害者將被重定向到網(wǎng)站或文檔以避免引起懷疑。

一旦攻擊者獲得對目標(biāo)電子郵件帳戶的訪問權(quán)限，他們就會竊取情報數(shù)據(jù)（電子郵件和附件）或設(shè)置從受害者收件箱到攻擊者控制的死投帳戶的轉(zhuǎn)發(fā)規(guī)則。

微軟確認(rèn)已采取行動，通過禁用用于監(jiān)視、網(wǎng)絡(luò)釣魚和電子郵件收集的賬戶來破壞 SEABORGIUM 的運營。這家 IT 巨頭還分享了該威脅參與者的入侵指標(biāo) (IOC)，其中包括 APT 在其網(wǎng)絡(luò)釣魚活動中使用的 60 多個域的列表。

完整的域列表可以在 Microsoft 的公告中找到，以及網(wǎng)絡(luò)防御者可以用來防止類似攻擊的保護措施。

防御措施包括在 Microsoft 365 中禁用電子郵件自動轉(zhuǎn)發(fā)，使用 IOC 調(diào)查潛在的危害，要求對所有賬戶進行 MFA，以及為了提高安全性，需要 FIDO 安全密鑰。

Microsoft 還發(fā)布了可用于檢查惡意活動的Azure Sentinel 狩獵查詢 [1、2 ] 。

精彩推薦

注：本文由E安全編譯報道，轉(zhuǎn)載請聯(lián)系授權(quán)并注明來源。

關(guān)鍵詞： 微軟宣布破壞針對北約網(wǎng)絡(luò)攻擊的俄羅斯APT組織 網(wǎng)絡(luò)釣魚