Detecting SEABORGIUM Campaigns: A Cyberespionage Group Targeting Governments, Military, and NGOs Across Europe

[post-views]
August 17, 2022 · 3 min zu lesen
Detecting SEABORGIUM Campaigns: A Cyberespionage Group Targeting Governments, Military, and NGOs Across Europe

Cybersicherheitsexperten vom Microsoft Threat Intelligence Center (MSTIC) haben die Infrastruktur einer bösartigen APT gestört, die für lang anhaltende Cyber-Spionageaktivitäten verantwortlich ist, die sich gegen Ziele in NATO-Ländern richten. Die Gruppe, genannt SEABORGIUM, startete mehrere Phishing-, Datendiebstahl- und Hack-and-Leak-Kampagnen, um Verteidigungsunternehmen, NGOs, IGOs, Denkfabriken und Bildungseinrichtungen auszuspionieren, angeblich im Auftrag der russischen Regierung.

SEABORGIUM-Phishing-Kampagnen-Erkennung

Angesichts der zunehmenden Raffinesse und des Umfangs von APT-Angriffen ist es wichtig, Erkennungsinhalte rechtzeitig zur Hand zu haben, um Eindringversuche proaktiv abzuwehren. Nutzen Sie eine Sigma-Regel unten bereitgestellt von unserem aufmerksamen Threat Bounty Entwickler Nattatorn Chuensangarun um die Hack-and-Leak-Kampagnen zu identifizieren, die mit SEABORGIUM APT in Verbindung stehen. Zusätzlich zur Sigma-Regel erhalten Sie Zugang zu verwandten MITRE ATT&CK-Referenzen, CTI-Links und kontextuellen Metadaten, um eine ganzheitliche Sicht auf die Angriffsfläche zu erhalten.

Mögliche SEABORGIUM APT-Ausführung durch Phishing in Hack-and-Leak-Kampagnen (über Proxy)

Die oben genannte Sigma-Regel ist in 19 SIEM-, EDR- und XDR-Formate übersetzt und stimmt mit dem MITRE ATT&CK®-Framework überein, das sich mit der Taktik des anfänglichen Zugriffs durch Phishing (T1566) als primäre Technik befasst.

Erhalten Sie die vollständige Liste der Sigma-Regeln, um bösartige Aktivitäten im Zusammenhang mit Advanced Persistent Threats (APTs) zu erkennen, indem Sie den Detect & Hunt-Button betätigen. Cyberverteidiger können auch unsere Cyber-Threats-Suchmaschine durchsuchen, um relevante Erkennungen zu erhalten, die mit einer Vielzahl von kontextuellen Informationen, einschließlich CTI-Links, MITRE ATT&CK-Referenzen und anderen Metadaten, angereichert sind. Drücken Sie einfach den Explore Threat Context-Button, um einzutauchen!

Detect & Hunt Explore Threat Context

Wer ist SEABORGIUM?

Laut der Untersuchung von MSTICist SEABORGIUM eine russisch staatlich gesponserte APT-Gruppe, die seit mindestens 2017 aktiv ist. Die Analyse zeigt signifikante Ähnlichkeiten in Taktiken und Werkzeugen mit der COLDRIVER APT und der Callisto Group, die beide eng mit Moskaus politischen Interessen verbunden sind.

Im Auftrag des russischen Staates ist SEABORGIUM APT verantwortlich für zahlreiche langanhaltende bösartige Kampagnen, die darauf abzielen, Verteidigungsunternehmen, Regierungsbehörden, Nichtregierungsorganisationen und Denkfabriken in ganz Europa auszuspionieren.

Normalerweise infiltrieren Gegner die Zielorganisation schrittweise und sorgfältig unter Einsatz verschiedener Täuschungstechniken, Phishing und Social Engineering. Insbesondere SEABORGIUM APT legt großen Wert darauf, die Identitäten der Opfer durch den Aufbau von Vertrauen und langanhaltende Gespräche über gefälschte Social-Media-Konten zu prüfen. Diese gefälschten Konten werden weiter genutzt, um bösartige PDF-Anhänge oder Phishing-Links zu verteilen, die dokumente auf OneDrive beherbergen. Wenn die angegriffenen Personen in die Falle gehen und den Anhang öffnen, werden sie auf Webseiten umgeleitet, die Phishing-Frameworks wie EvilGinx verwenden, die die Zugangsdaten der Nutzer aufnehmen können. Nachdem Zugriff auf die Vermögenswerte der Opfer erlangt wurde, exfiltriert SEABORGIUM die intelligenten Daten, durchkämmt Konten von Interesse und entleert sensible Informationen.

Cybersecurity-Spezialisten sind herzlich eingeladen, sich kostenlos bei SOC Prime’s Detection as Code Plattform anzumelden, um die neuesten Bedrohungen zu erkennen, die Log-Quelle und die MITRE ATT&CK-Abdeckung zu verbessern und aktiv zur Stärkung der Cyber-Abwehrfähigkeiten ihres Unternehmens beizutragen. Vielversprechende Detection Engineers können mit dem Threat Bounty Program – SOC Primes Crowdsourcing-Initiative – zusammenarbeiten, um unser Engagement für die Zusammenarbeit bei der Erreichung hoher Standards in Cybersecurity-Prozessen zu teilen und die Widerstandsfähigkeit angesichts ständig neuer Bedrohungen zu erhöhen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

AI Threat Intelligence 13 min zu lesen SIEM & EDR AI Threat Intelligence by Veronika Telychko Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung 2 min zu lesen SOC Prime Plattform Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung by Steven Edwards SOC Prime kündigt Empfehlungsprogramm für individuelle Cyber-Verteidiger an 3 min zu lesen SOC Prime Plattform SOC Prime kündigt Empfehlungsprogramm für individuelle Cyber-Verteidiger an by Daryna Olyniychuk
Alle Nachrichten