Microsoft’un Tehdit İstihbarat Merkezi (MSTIC), en azından bu yana NATO ülkelerindeki kuruluşlara ve bireylere yönelik sürekli hedefli kimlik avı ve kimlik bilgisi hırsızlığı kampanyalarında yer alan Rusya merkezli bir tehdit aktörü olan “Seaborgium”un operasyonlarını bozmak için adımlar attı. 2017.
Tehdit aktörünün birincil motivasyonu siber casusluk gibi görünüyor. Kurbanları arasında, başta ABD ve Birleşik Krallık olmak üzere savunma ve istihbarat toplulukları, sivil toplum kuruluşları, düşünce kuruluşları, yüksek öğretim kurumları ve hükümetler arası kuruluşlardaki çok sayıda kuruluş yer alıyor. Microsoft, yalnızca bu yıl Seaborgium kampanyalarında hedef alınan yaklaşık 30 kuruluş belirlediğini söyledi.
“Seaborgium’un bir bireyleri hedeflemeye yüksek ilgi ayrıca, Microsoft’un Seaborgium etkinliğiyle ilgili ulus devlet bildirimlerinin %30’unun Microsoft tüketici e-posta hesaplarına teslim edilmesiyle,” dedi Microsoft bu hafta bir blog yayınında. Mevcut telemetri ve taktikler, Seaborgium ve diğerlerinin çeşitli şekillerde takip ettiği tehdit grupları arasında örtüşmeler olduğunu gösteriyor. Callisto Grubu, SoğukNehirve TA446, dedi Microsoft.
Seaborgium, şu anda siber casusluk kampanyalarında ABD firmalarını hedef alan Rusya merkezli birçok gruptan sadece biri. Bu yılın başlarında, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Rus aktörlerin ABD silah geliştirme ve ABD ordusu ve hükümeti tarafından kullanılan teknolojiler hakkındaki hassas, ancak sınıflandırılmamış verileri sistematik olarak çaldığı konusunda uyardı. Ocak ayındaki uyarı, Ukrayna’daki savaşla ilgili ABD liderliğindeki yaptırımlara misilleme olarak ABD hedeflerine daha fazla Rus saldırısı yapma potansiyeli hakkında bir uyarıyı takip etti.
Gelişmiş Kimliğe bürünme
Microsoft, blog yazısında, Seaborgium aktörlerini, hedef bir organizasyonda bir başlangıç noktası elde etmek için yıllar boyunca çoğunlukla aynı sosyal mühendislik taktiklerini kullandıklarını açıkladı. Bir kampanya başlatmadan önce, tehdit aktörü genellikle hedeflenen bireyler üzerinde sosyal ve iş bağlantılarını belirlemek için kapsamlı araştırma yapma eğilimindeydi. Araştırma, genellikle tehdit aktörünün sosyal medya platformlarını (LinkedIn’deki sahte profiller de dahil olmak üzere) kullanmasını ve ilgili kişiler hakkında halka açık bilgiler toplanmasını içeriyor.
Microsoft, daha sonra, bilgileri hedefin tanıdığı kişileri taklit etmek için kullandılar ve taklit edilen kişilerin adları veya takma adlarıyla eşleşecek şekilde yapılandırılmış e-posta adresleri veya takma adları olan yeni e-posta hesaplarını kullanarak onlarla iletişim kurdular, dedi. İlk temasın tonu, bireyin kişisel/tüketici hedefi mi yoksa hedeflenen bir kuruluşta çalışan biri mi olduğuna bağlı olarak genellikle farklıdır. İlk durumda, Seaborgium aktörleri tipik olarak, hedefin ilgilendiği konularda hoş sohbetler yapan ve var olmayan bir eke atıfta bulunan iyi niyetli bir e-posta ile başladılar. Microsoft, bu yaklaşımı benimseme hedefinin bir hedefle bir ilişki kurma olasılığının yüksek olduğunu tahmin etti. Kimlik avı e-postası alıcısı yanıt verirse, tehdit aktörü, kimlik bilgilerini çalma altyapısına bir bağlantı içeren bir e-posta ile yanıt verir.
Seaborgium’un kimlik avı e-postaları, hedef kuruluştaki bireyler için daha ticari ve kurumsal bir tondadır. Bu durumlarda, tehdit aktörleri, e-posta alıcılarını kimlik bilgilerini çalan siteye yönlendirmede daha yetkili bir yaklaşım benimseme eğilimi göstermiştir – örneğin, siber güvenlik temalı yemler alarak. Microsoft, çoğu kampanyada Seaborgium aktörlerinin kimlik bilgilerini çalan sitelerinin URL’sini doğrudan e-posta gövdesine yerleştirdiklerini söyledi. Ancak son zamanlarda, tehdit aktörü, bağlantıyı dağıtmak için bir belgeyi veya dosya barındırma hizmetini (genellikle OneDrive) yanıltıcı PDF dosyaları ve ekleri de kullanıyor.
E-postaları ve Ekleri Çalmak için Çalınan Kimlik Bilgilerini Kullanma
Microsoft, araştırmacılarının kurbanların e-posta hesaplarına doğrudan giriş yapmak ve e-postalarını ve eklerini çalmak için çalınan kimlik bilgilerini kullanarak Seaborgium’u gözlemlediklerini söyledi. Birkaç durumda, tehdit aktörünün kurban e-posta hesaplarını e-postaları saldırganın kontrol ettiği adreslere iletmek üzere yapılandırdığı da gözlemlendi.
Microsoft, “Seaborgium’un belirli ilgili kişilerle diyaloğu kolaylaştırmak için kimliğe bürünme hesaplarını kullandığı ve bunun sonucunda, bazen farkında olmadan, birden fazla tarafı içeren konuşmalara dahil edildiği birkaç vaka oldu.” Dedi. potansiyel olarak hassas bilgiler içeriyor.
İnceleme Altında
Kesinti devam ettiği sürece, bilgi işlem devi Seaborgium aktörlerinin kurban keşfi, kimlik avı ve diğer kötü niyetli faaliyetler için kullandığı hesapları şimdi devre dışı bıraktı. Buna birden fazla LinkedIn hesabı dahildir. Ayrıca Seaborgium ile ilişkili kimlik avı alanları için algılamalar geliştirmiştir.
Tehdit aktörünü Callisto Group olarak ifade eden F-Secure, 2015 yılından bu yana faaliyetlerini takip etmek. 2017 tarihli bir raporda güvenlik sağlayıcısı, Callisto Group’u AB’deki ve doğu Avrupa’nın bazı bölgelerindeki hükümetleri, gazetecileri ve düşünce kuruluşlarını hedef alan sofistike bir aktör olarak tanımlamıştı. F-Secure, grubun kampanyalarını, genellikle tehdit aktörünün çalıntı kimlik bilgilerini kullanarak daha önce erişim elde ettiği meşru e-posta hesaplarından gönderilen oldukça ikna edici hedefli kimlik avı e-postaları içerdiğini açıklamıştı.
Daha yakın zamanlarda Google, bir tehdit aktörü hakkında uyardı. kötü niyetli siber etkinlik hakkında daha geniş güncelleme Şubat ayında Ukrayna savaşının başlamasından bu yana Doğu Avrupa’da. Şirket, Seaborgium’un adı olan ColdRiver’ın Google’a ve politikacılara, savunma ve hükümet yetkililerine, gazetecilere ve düşünce kuruluşlarına ait Google’a ait olmayan kimlik avı e-postaları göndermek için Gmail hesaplarını kullanmaya devam ettiğini gözlemlediğini söyledi. Google, “Grubun bu kampanyalar için taktikleri, teknikleri ve prosedürleri (TTP’ler), kimlik avı bağlantılarını doğrudan e-postaya eklemekten, Google Drive ve Microsoft One Drive’da barındırılan PDF’lere ve/veya DOC’lara bağlantı vermeye biraz değişti” dedi. Google’a göre dosyalar, kimlik bilgisi avı alan adına bir bağlantı içeriyor.