Microsoft предупреждает о фишинговой атаке SEABORGIUM, которая сначала подружится с вами, чтобы потом ограбить

MSTIC опубликовал предупреждение о фишинговой кампании под названием «SEABORGIUM» — известна с 2017 года. Microsoft считает, что достаточно изучила их способ работы, чтобы выпустить исчерпывающее руководство, которое может помочь потенциальным жертвам. Опасность заключается в том, как злоумышленники начинают атаку. Сначала было замечено, что они проводят разведку или тщательное наблюдение за потенциальными жертвами, используя fake профили в социальных сетях. Также создается несколько адресов электронной почты чтобы связаться с жертвой.

Ниже приведен пример недавнего электронного письма, разосланного злоумышленниками, чтобы завоевать доверие и наладить взаимопонимание:

После этого Microsoft заявляет, что акторы SEABORGIUM доставляют вредоносные URL-адреса непосредственно в электронной почте или через вложения, как вы можете видеть ниже, часто имитируя услуги хостинга, такие как собственный OneDrive от Microsoft:

Например, вот пример (ниже) вложения, для которого не доступен предварительный просмотр, что может соблазнить жертву щелкнуть вредоносную ссылку, которая направляет жертв на фишинговые порталы:

Microsoft отметила использование в данном случае фишингового комплекта EvilGinx для кражи учетных данных. На изображении ниже показан фишинговый портал, разработанный SEABORGIUM.

Microsoft в основном наблюдала за утечкой данных и операциями с информацией. Редмондский гигант подробно объяснил влияние первого:

Эксфильтрация данных и воздействие

• Эксфильтрация разведывательных данных: было замечено, что SEABORGIUM извлекает электронные письма и вложения из почтовых ящиков жертв.
• Настройка постоянного сбора данных: в ограниченных случаях было замечено, что SEABORGIUM настраивает правила пересылки из почтовых ящиков жертвы в учетные записи, контролируемые субъектом, где субъект имеет долгосрочный доступ к собранным данным. Мы неоднократно наблюдали, как действующие лица могли получить доступ к данным списков рассылки для конфиденциальных групп, таких как те, которые часто посещают бывшие сотрудники разведки, и поддерживать сбор информации из списков рассылки для последующего нацеливания и эксфильтрация.
• Доступ к людям, представляющим интерес: было несколько случаев, когда SEABORGIUM использовал свои учетные записи, выдающие себя за других, для облегчения диалога с конкретными людьми, представляющими интерес, и в результате они были включены в разговоры, иногда непреднамеренно, с участием нескольких сторон. Характер разговоров, выявленных в ходе расследований Microsoft, демонстрирует потенциально конфиденциальную информацию, которая может быть использована для раскрытия информации.