Rilevare le Campagne SEABORGIUM: Un Gruppo di Cyber Spionaggio che Prende di Mira Governi, Militari e ONG in tutta Europa
Indice:
Esperti di cybersecurity del Microsoft Threat Intelligence Center (MSTIC) hanno interrotto l’infrastruttura di un APT nefasto responsabile di attività di cyber-spionaggio di lunga durata mirate a obiettivi all’interno dei paesi della NATO. Il gruppo, denominato SEABORGIUM, ha lanciato multiple campagne di phishing, furto di dati e hack-and-leak per spiare appaltatori della difesa, ONG, OIG, think tank e istituzioni educative, presumibilmente per conto del governo russo.
Rilevamento delle Campagne di Phishing SEABORGIUM
In vista della crescente sofisticazione e scala degli attacchi APT, è importante avere contenuti di rilevamento tempestivi a portata di mano per difendersi proattivamente dalle intrusioni. Scarica una regola Sigma qui sotto fornita dal nostro accorto sviluppatore di Threat Bounty Nattatorn Chuensangarun per identificare le campagne di hack-and-leak associate all’APT SEABORGIUM. Oltre alla regola Sigma, avrai accesso a riferimenti attinenti a MITRE ATT&CK, link CTI e metadati contestuali per ottenere una visione olistica della superficie degli attacchi.
Possibile Esecuzione APT SEABORGIUM tramite Phishing in Campagne di hack-and-leak (via proxy)
La regola Sigma qui sopra ha traduzioni in 19 formati SIEM, EDR & XDR ed è allineata con il framework MITRE ATT&CK® trattando la tattica di Accesso Iniziale con Phishing (T1566) applicato come tecnica principale.
Ottieni l’elenco completo delle regole Sigma per rilevare attività dannose associate alle minacce persistenti avanzate (APT) premendo il pulsante Detect & Hunt. I difensori informatici possono anche esaminare il nostro motore di ricerca delle minacce informatiche per ottenere rilevamenti pertinenti arricchiti con un’ampia gamma di informazioni contestuali, inclusi link CTI, riferimenti MITRE ATT&CK e altri metadati. Basta premere il pulsante Explore Threat Context per immergersi!
Detect & Hunt Explore Threat Context
Chi è SEABORGIUM?
Secondo l’ inchiesta di MSTIC, SEABORGIUM è un gruppo APT sponsorizzato dallo stato russo che opera nel mondo almeno dal 2017. L’analisi mostra somiglianze significative in tattiche e strumenti con APT COLDRIVER e Callisto Group, entrambi strettamente allineati con gli interessi politici di Mosca.
Operando per conto dello stato russo, l’APT SEABORGIUM è responsabile di molteplici campagne dannose di lunga durata volte a spiare appaltatori della difesa, agenzie governative, organizzazioni non governative e think tank in tutta Europa.
Tipicamente, gli avversari infiltrano gradualmente e con attenzione l’organizzazione bersaglio con l’aiuto di varie tecniche di impersonificazione, phishing e ingegneria sociale. In particolare, l’APT SEABORGIUM investe molto sforzo nell’ispezione delle identità delle vittime attraverso l’instaurazione di relazioni e conversazioni di lunga durata tramite account di social media falsi. Quegli account falsi sono ulteriormente utilizzati per diffondere allegati PDF malevoli o link di phishing a documenti trappola ospitati su OneDrive. Se gli individui bersaglio cadono nella trappola e aprono l’allegato, vengono reindirizzati a pagine web che eseguono framework di phishing come EvilGinx, che possono carpire le credenziali degli utenti. Una volta accesso alle risorse della vittima, SEABORGIUM esfiltra i dati di intelligence, naviga tra gli account di interesse e scarica informazioni sensibili.
Gli esperti di cybersecurity sono invitati a iscriversi gratuitamente alla piattaforma Detection as Code di SOC Prime per rilevare le ultime minacce, migliorare la sorgente di log e la copertura MITRE ATT&CK, e contribuire attivamente a potenziare le capacità di difesa informatica della propria organizzazione. I Promettenti Ingegneri di Rilevamento possono unirsi alla Threat Bounty Program – l’iniziativa di crowdsourcing di SOC Prime, per condividere la nostra dedizione alla cooperazione nel raggiungere alti standard nei processi di cybersecurity e aumentare la resilienza di fronte a minacce che emergono continuamente.
