Detección de Campañas SEABORGIUM: Un Grupo de Ciberespionaje que Apunta a Gobiernos, Militares y ONGs en Toda Europa
Tabla de contenidos:
Expertos en ciberseguridad del Microsoft Threat Intelligence Center (MSTIC) han interrumpido la infraestructura de un APT nefasto responsable de actividades prolongadas de ciberespionaje dirigidas a objetivos dentro de los países de la OTAN. El grupo, llamado SEABORGIUM, lanzó múltiples campañas de phishing, robo de datos, y hack-and-leak para espiar a contratistas de defensa, ONGs, OIGs, grupos de reflexión e instituciones educativas, supuestamente en nombre del gobierno ruso.
Detección de Campañas de Phishing de SEABORGIUM
En vista del creciente nivel de sofisticación y escala de los ataques de APT, es importante tener contenido de detección disponible oportunamente para defenderse de las intrusiones de manera proactiva. Obtén una regla Sigma a continuación proporcionada por nuestro perspicaz desarrollador del programa Threat Bounty Nattatorn Chuensangarun para identificar las campañas de hack-and-leak asociadas con el APT SEABORGIUM. Además de la regla Sigma, tendrás acceso a referencias MITRE ATT&CK relacionadas, enlaces CTI y metadatos contextuales para obtener una visión holística de la superficie de ataque.
Posible Ejecución del APT SEABORGIUM a través de Phishing en Campañas de hack-and-leak (vía proxy)
La regla Sigma arriba mencionada tiene traducciones a 19 formatos SIEM, EDR & XDR y está alineada con el marco MITRE ATT&CK® abordando la táctica de Acceso Inicial con Phishing (T1566) aplicada como su técnica principal.
Obtén la lista completa de reglas Sigma para detectar actividades maliciosas asociadas con amenazas persistentes avanzadas (APTs) haciendo clic en el botón Detect & Hunt. Los defensores cibernéticos también pueden navegar en nuestro Motor de Búsqueda de Amenazas Cibernéticas para obtener detecciones relevantes mejoradas con una amplia gama de información contextual, incluyendo enlaces CTI, referencias de MITRE ATT&CK y otros metadatos. ¡Solo presiona el botón Explore Threat Context para sumergirte!
Detect & Hunt Explore Threat Context
¿Quién es SEABORGIUM?
Según la investigación de MSTIC, SEABORGIUM es un grupo APT patrocinado por el estado ruso que opera en la naturaleza desde al menos 2017. El análisis muestra similitudes significativas en tácticas y herramientas con COLDRIVER APT y Callisto Group, ambos estrechamente alineados con los intereses políticos de Moscú.
Actuando en nombre del estado ruso, el APT SEABORGIUM es responsable de múltiples campañas maliciosas prolongadas con el objetivo de espiar a contratistas de defensa, agencias gubernamentales, organizaciones no gubernamentales y grupos de reflexión en toda Europa.
Típicamente, los adversarios infiltran la organización objetivo gradualmente y con cuidado con la ayuda de diversas técnicas de suplantación de identidad, phishing, e ingeniería social. Específicamente, el APT SEABORGIUM dedica mucho esfuerzo a inspeccionar las identidades de las víctimas estableciendo una relación y conversaciones duraderas a través de cuentas falsas de redes sociales. Esas cuentas falsas se utilizan además para distribuir adjuntos en PDF maliciosos o enlaces de phishing a documentos con trampas alojados en OneDrive. Si las personas objetivo caen en la trampa y abren el adjunto, son redirigidas a páginas web que ejecutan marcos de phishing como EvilGinx, que pueden capturar las credenciales de los usuarios. Al acceder a los activos de la víctima, SEABORGIUM extrae los datos de inteligencia, explora cuentas de interés y recopila información sensible.
Los expertos en ciberseguridad están invitados a registrarse gratis en la plataforma Detection as Code de SOC Prime para detectar las últimas amenazas, mejorar la fuente de logs y la cobertura de MITRE ATT&CK, y contribuir activamente a potenciar las capacidades de defensa cibernética de su organización. Los Ingenieros de Detección Prometedores pueden unir fuerzas con el Programa Threat Bounty – la iniciativa de crowdsourcing de SOC Prime, para compartir nuestra dedicación a cooperar en el logro de altos estándares de procesos de ciberseguridad y elevar la resiliencia ante amenazas en constante evolución.
