Microsoft reveló el lunes que tomó medidas para interrumpir las operaciones de phishing realizadas por un «actor de amenazas altamente persistente» cuyos objetivos se alinean estrechamente con los intereses del estado ruso.
La compañía está rastreando el grupo de actividades orientadas al espionaje bajo su apodo de elementos químicos. SEABORGIOque dijo se superpone con un grupo de piratería también conocido como CalistoCOLDRIVER y TA446.
«Las intrusiones de SEABORGIUM también se han relacionado con campañas de piratería y fugas, donde los datos robados y filtrados se utilizan para dar forma a las narrativas en los países objetivo», los equipos de caza de amenazas de Microsoft dijo. «Sus campañas implican persistentes campañas de phishing y robo de credenciales que conducen a intrusiones y robo de datos».
Se sabe que los ataques lanzados por el colectivo adversario se dirigen a las mismas organizaciones utilizando metodologías consistentes aplicadas durante largos períodos de tiempo, lo que les permite infiltrarse en las redes sociales de las víctimas a través de una combinación de suplantación de identidad, construcción de relaciones y phishing.
Microsoft dijo que observó «solo ligeras desviaciones en sus enfoques de ingeniería social y en cómo entregan la URL maliciosa inicial a sus objetivos».
Los objetivos principales incluyen empresas de consultoría de defensa e inteligencia, organizaciones no gubernamentales (ONG) y organizaciones intergubernamentales (IGO), grupos de expertos y entidades de educación superior ubicadas en los EE. UU. y el Reino Unido, y en menor medida en los países bálticos, los países nórdicos, y la Europa del Este.
Los objetivos adicionales de interés consisten en ex funcionarios de inteligencia, expertos en asuntos rusos y ciudadanos rusos en el extranjero. Se estima que más de 30 organizaciones y cuentas personales han estado en el extremo receptor de sus campañas desde principios de 2022.
Todo comienza con un reconocimiento de personas potenciales aprovechando personas falsas creadas en plataformas de redes sociales como LinkedIn, antes de establecer contacto con ellas a través de mensajes de correo electrónico benignos que se originan en cuentas recién registradas configuradas para que coincidan con los nombres de las personas suplantadas.
En caso de que el objetivo sea víctima del intento de ingeniería social, el autor de la amenaza activa la secuencia de ataque enviando un mensaje armado que incluye un documento PDF con una trampa explosiva o un enlace a un archivo alojado en OneDrive.
«SEABORGIUM también abusa de OneDrive para alojar archivos PDF que contienen un enlace a la URL maliciosa», dijo Microsoft. «Los actores incluyen un enlace de OneDrive en el cuerpo del correo electrónico que, cuando se hace clic, dirige al usuario a un archivo PDF alojado en una cuenta de OneDrive controlada por SEABORGIUM».
Además, se descubrió que el adversario disfraza su infraestructura operativa al recurrir a redireccionamientos abiertos aparentemente inofensivos para enviar a los usuarios al servidor malicioso, que, a su vez, solicita a los usuarios que ingresen sus credenciales para ver el contenido.
La última fase de los ataques implica abusar de las credenciales robadas para acceder a las cuentas de correo electrónico de la víctima, aprovechar los inicios de sesión no autorizados para filtrar correos electrónicos y archivos adjuntos, establecer reglas de reenvío de correo electrónico para garantizar la recopilación de datos sostenida y otras actividades de seguimiento.
«Ha habido varios casos en los que se ha observado a SEABORGIUM usando sus cuentas de suplantación de identidad para facilitar el diálogo con personas de interés específicas y, como resultado, se incluyeron en conversaciones, a veces sin darse cuenta, que involucraban a varias partes», señaló Redmond.