Microsoft a révélé lundi qu’il avait pris des mesures pour perturber les opérations de phishing entreprises par un « acteur menaçant hautement persistant » dont les objectifs correspondent étroitement aux intérêts de l’État russe.
La société suit le groupe d’activités axé sur l’espionnage sous son surnom sur le thème des éléments chimiques SEABORGIUMqui, selon elle, chevauche un groupe de piratage également connu sous le nom de CallistoCOLDRIVER et TA446.
« Les intrusions de SEABORGIUM ont également été liées à des campagnes de piratage et de fuite, où des données volées et divulguées sont utilisées pour façonner des récits dans des pays ciblés », ont déclaré les équipes de chasse aux menaces de Microsoft. a dit. « Ses campagnes impliquent des campagnes persistantes de phishing et de vol d’informations d’identification conduisant à des intrusions et à des vols de données. »
Les attaques lancées par le collectif contradictoire sont connues pour cibler les mêmes organisations en utilisant des méthodologies cohérentes appliquées sur de longues périodes, ce qui lui permet d’infiltrer les réseaux sociaux des victimes par une combinaison d’usurpation d’identité, d’établissement de relations et de phishing.
Microsoft a déclaré n’avoir observé « que de légers écarts dans leurs approches d’ingénierie sociale et dans la manière dont ils transmettent l’URL malveillante initiale à leurs cibles ».
Les principales cibles sont les sociétés de conseil en matière de défense et de renseignement, les organisations non gouvernementales (ONG) et les organisations intergouvernementales (OIG), les groupes de réflexion et les établissements d’enseignement supérieur situés aux États-Unis et au Royaume-Uni, et dans une moindre mesure dans les pays baltes, les pays nordiques, et l’Europe de l’Est.
Les autres cibles d’intérêt sont d’anciens responsables du renseignement, des experts des affaires russes et des citoyens russes à l’étranger. On estime que plus de 30 organisations et comptes personnels ont été les destinataires de ses campagnes depuis le début de 2022.
Tout commence par une reconnaissance des individus potentiels en exploitant de faux personnages créés sur des plateformes de médias sociaux comme LinkedIn, avant d’établir un contact avec eux via des courriers électroniques bénins provenant de comptes nouvellement enregistrés configurés pour correspondre aux noms des individus usurpés.
Dans le cas où la cible serait victime de la tentative d’ingénierie sociale, l’auteur de la menace active la séquence d’attaque en envoyant un message armé incorporant un document PDF piégé ou un lien vers un fichier hébergé sur OneDrive.
« SEABORGIUM abuse également de OneDrive pour héberger des fichiers PDF contenant un lien vers l’URL malveillante », a déclaré Microsoft. « Les acteurs incluent un lien OneDrive dans le corps de l’e-mail qui, lorsqu’il est cliqué, dirige l’utilisateur vers un fichier PDF hébergé dans un compte OneDrive contrôlé par SEABORGIUM. »
De plus, il a été constaté que l’adversaire dissimulait son infrastructure opérationnelle en recourant à des redirections ouvertes apparemment inoffensives pour envoyer les utilisateurs vers le serveur malveillant, qui, à son tour, invite les utilisateurs à entrer leurs informations d’identification pour afficher le contenu.
La dernière phase des attaques consiste à abuser des informations d’identification volées pour accéder aux comptes de messagerie de la victime, à profiter des connexions non autorisées pour exfiltrer les e-mails et les pièces jointes, à mettre en place des règles de transfert des e-mails pour assurer une collecte de données soutenue et d’autres activités de suivi.
« Il y a eu plusieurs cas où SEABORGIUM a été observé en train d’utiliser leurs comptes d’usurpation d’identité pour faciliter le dialogue avec des personnes d’intérêt spécifiques et, par conséquent, ont été inclus dans des conversations, parfois involontairement, impliquant plusieurs parties », a souligné Redmond.