Microsoft reveló este lunes 15 de agosto, que tomó medidas para interrumpir las operaciones de phishing llevadas a cabo por un "actor de amenaza altamente persistente" cuyos objetivos se alinean estrechamente con los intereses del Estado ruso.
La compañía está rastreando el grupo de actividad orientada al espionaje bajo su apelativo de elemento químico SEABORGIUM, que, según dijo, se oculta con un grupo de hackers también conocido como Callisto, COLDRIVER y TA446.
"Las intrusiones de SEABORGIUM también se han vinculado a campañas de hackeo y filtración, en las que los datos robados y filtrados se utilizan para dar forma a las narrativas en los países objetivo", dijeron los equipos de caza de amenazas de Microsoft. "Sus campañas implican campañas persistentes de phishing y robo de credenciales que conducen a intrusiones y robo de datos".
Se sabe que los ataques lanzados por el colectivo adversario se dirigen a las mismas organizaciones utilizando metodologías consistentes aplicadas durante largos períodos de tiempo, lo que le permite infiltrarse en las redes sociales de las víctimas a través de una combinación de suplantación de identidad, construcción de relaciones y phishing.
Microsoft dijo que observó "sólo ligeras desviaciones en sus enfoques de ingeniería social y en la forma de entregar la URL maliciosa inicial a sus objetivos".
Los objetivos principales son las empresas de consultoría de defensa e inteligencia, las organizaciones no gubernamentales (ONG) y las organizaciones intergubernamentales (OIG), los grupos de reflexión y las entidades de enseñanza superior situadas en Estados Unidos y el Reino Unido y en menor medida, en el Báltico, los países nórdicos y Europa del Este.
Otros objetivos de interés son antiguos funcionarios de los servicios de inteligencia, expertos en asuntos y ciudadanos rusos en el extranjero. Se estima que más de 30 organizaciones y cuentas personales han sido objeto de sus campañas desde principios de 2022.
Los objetivos principales son empresas de consultoría de defensa e inteligencia, organizaciones no gubernamentales (ONG) y organizaciones intergubernamentales (OIG), grupos de reflexión y entidades de enseñanza superior situadas en los Estados Unidos y el Reino Unido y, en menor medida, en el Báltico, los países nórdicos y Europa del Este.
Todo comienza con un reconocimiento de individuos potenciales mediante el uso de personajes falsos creados en plataformas de redes sociales como LinkedIn, antes de establecer contacto con ellos a través de misivas de correo electrónico benignas originadas en cuentas recién registradas y configuradas para que coincidan con los nombres de los individuos suplantados.
En caso de que el objetivo sea víctima del intento de ingeniería social, el actor de la amenaza activa la secuencia de ataque mediante el envío de un mensaje armado que incluye un documento PDF con trampa o un enlace a un archivo alojado en OneDrive.
"SEABORGIUM también abusa de OneDrive para alojar archivos PDF que contienen un enlace a la URL maliciosa", dijo Microsoft. "Los actores incluyen un enlace de OneDrive en el cuerpo del correo electrónico que al hacer clic dirige al usuario a un archivo PDF alojado en una cuenta de OneDrive controlada por SEABORGIUM".
Además, descubrieron que el adversario disfraza su infraestructura operativa recurriendo a redireccionamientos abiertos aparentemente inofensivos para enviar a los usuarios al servidor malicioso que, a su vez, les pide que introduzcan sus credenciales para ver el contenido.
La última fase de los ataques consiste en abusar de las credenciales robadas para acceder a las cuentas de correo electrónico de la víctima, aprovechando los inicios de sesión no autorizados para exfiltrar correos electrónicos y archivos adjuntos, establecer reglas de reenvío de correo electrónico para garantizar la recopilación continua de datos y otras actividades posteriores.
"Se han observado varios casos en los que SEABORGIUM ha utilizado sus cuentas de suplantación de identidad para facilitar el diálogo con personas específicas de interés y como resultado, se incluyeron en conversaciones, a veces sin saberlo, que involucraban a múltiples partes", señalaron.