SEABORGIUMキャンペーンの検出：ヨーロッパ全域で政府、軍事、NGOを標的とするサイバー諜報グループ

Microsoft Threat Intelligence Center (MSTIC) のサイバーセキュリティ専門家は、NATO諸国のターゲットを狙った長期的なサイバースパイ活動を行っていた悪名高いAPTのインフラを阻止しました。このグループはSEABORGIUMと名付けられ、防衛請負業者、NGO、IGO、シンクタンク、教育機関をスパイするために、フィッシング、データ窃盗、ハッキング・リークキャンペーンを多数展開し、ロシア政府の代理とされています。

SEABORGIUM フィッシングキャンペーンの検出

APT攻撃の精巧さと規模が増していることを考慮すると、攻撃の侵入を積極的に防ぐために、タイムリーな検出コンテンツを持つことが重要です。 Sigmaルール 以下は、私たちの優れたThreat Bounty開発者 Nattatorn Chuensangarun により提供されているハック＆リークキャンペーンを特定するためのもので、関連するSEABORGIUM APTを特定します。Sigmaルールに加えて、関連するMITRE ATT&CK参照、CTIリンク、コンテキストメタデータにアクセスし、攻撃面全体の視界を得ることができます。

フィッシングを通じたSEABORGIUM APTの可能な実行によるハック＆リークキャンペーン（プロキシ経由）

上記のSigmaルールは19のSIEM、EDR、XDRフォーマットへ翻訳され、 MITRE ATT&CK®フレームワーク と一致しており、フィッシング（T1566）が初期アクセス戦術として適用されています。

高度持続的脅威（APT）に関連する悪意のある活動を検出するためのSigmaルールの完全なリストを入手するには、Detect & Huntボタンを押してください。サイバー防御者は、CTIリンク、MITRE ATT&CK参照、その他のメタデータを含む広範なコンテキスト情報を強化した関連する検出を得るために、私たちのサイバー脅威検索エンジンを閲覧することもできます。脅威コンテキストを探るには、Explore Threat Context ボタンを押すだけです!

Detect & Hunt Explore Threat Context

SEABORGIUMとは？

According to the MSTICの調査によれば、SEABORGIUMは少なくとも2017年から野生で活動しているロシアの国家支援APTグループです。この分析は、モスクワの政治的利益と密接に一致するCOLDRIVER APTおよびCallisto Groupとの戦術とツールにおける顕著な類似点を示しています。

ロシア国家の代理で活動するSEABORGIUM APTは、防衛請負業者、政府機関、非政府組織、ヨーロッパ全域のシンクタンクをスパイすることを目的とした長期的な悪意のあるキャンペーンの責任を負っています。

通常、敵対者は様々ななりすまし技術、フィッシング、ソーシャルエンジニアリングを駆使して標的となる組織に徐々にかつ慎重に侵入します。具体的には、SEABORGIUM APTは、偽のSNSアカウントを介して被害者の身元を調査し、関係を築きながら長期にわたる会話を行うことに多大な努力を注いでいます。これらの偽アカウントはさらに悪意のあるPDF添付ファイルやフィッシングリンクを拡散するために使用され、OneDrive上にホストされた罠付き文書にユーザーを引っ掛けます。標的が添付ファイルを開くと、EvilGinxのようなフィッシングフレームワークを実行するウェブページにリダイレクトされ、ユーザーの認証情報を取得します。標的の資産にアクセスすると、SEABORGIUMは諜報データを外部送信し、関心のあるアカウントを横断し、機密情報をダンプします。

サイバーセキュリティの精通者は、 SOC PrimeのDetection as Code プラットフォームに無料でサインアップして最新の脅威を検出し、ログソースとMITRE ATT&CKの網羅性を向上させ、組織のサイバー防御能力を向上させることができます。有望な検出エンジニアは、 Threat Bounty Program – SOC Primeのクラウドソーシングイニシアチブに参加し、サイバーセキュリティプロセスの高い基準を達成し、絶え間なく出現する脅威に対抗する耐性を高める努力を共有できます。