Détection des campagnes SEABORGIUM : un groupe de cyberguerre ciblant les gouvernements, militaires et ONG à travers l’Europe
Table des matières :
Des experts en cybersécurité du Microsoft Threat Intelligence Center (MSTIC) ont perturbé l’infrastructure d’un APT néfaste, responsable de longues campagnes de cyberespionnage visant des cibles dans les pays de l’OTAN. Le groupe, surnommé SEABORGIUM, a lancé plusieurs campagnes de phishing, de vol de données et de hacking-and-leak pour espionner des sous-traitants de la défense, des ONG, des OIG, des think tanks et des établissements d’enseignement, prétendument au nom du gouvernement russe.
Détection des campagnes de phishing de SEABORGIUM
À la vue de la sophistication croissante et de l’ampleur des attaques APT, il est important d’avoir du contenu de détection à disposition en temps opportun pour se défendre proactivement contre les intrusions. Saisissez une règle Sigma fournie ci-dessous par notre développeur Threat Bounty perspicace Nattatorn Chuensangarun pour identifier les campagnes de hacking-and-leak associées à SEABORGIUM APT. En plus de la règle Sigma, vous aurez accès à des références MITRE ATT&CK associées, des liens CTI et des métadonnées contextuelles pour obtenir une vision holistique de la surface d’attaque.
Possible exécution de SEABORGIUM APT via Phishing dans les campagnes de hacking-and-leak (via proxy)
La règle Sigma ci-dessus possède des traductions vers 19 formats SIEM, EDR & XDR et est alignée avec le cadre MITRE ATT&CK® adressant la tactique d’Accès Initial avec Phishing (T1566) appliqué comme technique principale.
Obtenez la liste complète des règles Sigma pour détecter les activités malveillantes associées aux menaces persistantes avancées (APT) en appuyant sur le bouton Detect & Hunt. Les défenseurs cyber peuvent également parcourir notre moteur de recherche Cyber Threats pour obtenir des détections pertinentes améliorées avec un large éventail d’informations contextuelles, y compris des liens CTI, des références MITRE ATT&CK et d’autres métadonnées. Il vous suffit de presser le bouton Explore Threat Context pour plonger dedans!
Detect & Hunt Explore Threat Context
Qui est SEABORGIUM ?
Selon l’ enquête menée par MSTIC, SEABORGIUM est un groupe APT parrainé par l’État russe opérant dans la nature depuis au moins 2017. L’analyse montre des similitudes significatives dans les tactiques et les outils avec les groupes APT COLDRIVER et Callisto, tous deux étroitement alignés avec les intérêts politiques de Moscou.
Agissant au nom de l’État russe, l’APT SEABORGIUM est responsable de nombreuses campagnes malveillantes de longue durée visant à espionner des sous-traitants de la défense, des agences gouvernementales, des organisations non gouvernementales et des think tanks à travers l’Europe.
Typiquement, les adversaires infiltrent l’organisation ciblée progressivement et soigneusement à l’aide de diverses techniques d’usurpation d’identité, de phishing et d’ingénierie sociale. En particulier, l’APT SEABORGIUM met beaucoup d’efforts dans l’inspection des identités des victimes en établissant des relations et des conversations de longue durée via de faux comptes de médias sociaux. Ces faux comptes sont ensuite utilisés pour diffuser des pièces jointes PDF malveillantes ou des liens de phishing vers des documents piégés hébergés sur OneDrive. Si les individus ciblés tombent dans le piège et ouvrent la pièce jointe, ils sont redirigés vers des pages web exécutant des cadres de phishing comme EvilGinx, qui peuvent capturer les identifiants des utilisateurs. Une fois qu’il accède aux actifs de la victime, SEABORGIUM exfiltre les données de renseignement, navigue à travers les comptes d’intérêt et extrait des informations sensibles.
Les adeptes de la cybersécurité sont invités à s’inscrire gratuitement à la plateforme Detection as Code de SOC Prime pour détecter les dernières menaces, améliorer la source de journalisation et la couverture MITRE ATT&CK, et contribuer activement à renforcer les capacités de défenses cyber de leur organisation. Les ingénieurs en détection prometteurs peuvent rejoindre la Threat Bounty Program – l’initiative de crowdsourcing de SOC Prime, pour partager notre dévouement à coopérer dans la réalisation de normes élevées de processus de cybersécurité et à augmenter la résilience face à l’émergence continue de menaces.
