Detecção das Campanhas SEABORGIUM: Um Grupo de Ciberespionagem Alvejando Governos, Militares e ONGs na Europa

Especialistas em cibersegurança do Microsoft Threat Intelligence Center (MSTIC) interromperam a infraestrutura de um APT nefasto responsável por atividades duradouras de ciberespionagem voltadas a alvos em países da OTAN. O grupo, apelidado de SEABORGIUM, lançou múltiplas campanhas de phishing, roubo de dados e hack-and-leak para espionar contratantes de defesa, ONGs, IGOs, think tanks e instituições educacionais, supostamente em nome do governo russo.

Detecção de Campanhas de Phishing do SEABORGIUM

Dada a crescente sofisticação e escala dos ataques APT, é importante ter conteúdo de detecção disponível em tempo hábil para defender-se proativamente contra intrusões. Pegue uma regra Sigma abaixo fornecida pelo nosso perspicaz desenvolvedor do Threat Bounty Nattatorn Chuensangarun para identificar as campanhas de hack-and-leak associadas ao APT SEABORGIUM. Além da regra Sigma, você terá acesso a referências MITRE ATT&CK relacionadas, links CTI e metadados contextuais para obter uma visão holística da superfície de ataque.

Execução Possível do APT SEABORGIUM através de Phishing em Campanhas de hack-and-leak (via proxy)

A regra Sigma acima possui traduções para 19 formatos SIEM, EDR & XDR e está alinhada com o framework MITRE ATT&CK® abordando a tática de Acesso Inicial com Phishing (T1566) aplicada como sua técnica principal.

Obtenha a lista completa de regras Sigma para detectar atividades maliciosas associadas a ameaças persistentes avançadas (APTs) clicando no botão Detectar & Caçar. Os defensores cibernéticos também podem acessar nosso Motor de Busca de Ameaças Cibernéticas para obter detecções relevantes aprimoradas com uma ampla gama de informações contextuais, incluindo links CTI, referências MITRE ATT&CK e outros metadados. Basta pressionar o botão Explorar Contexto de Ameaças para mergulhar fundo!

Detectar & Caçar Explorar Contexto de Ameaças

Quem é o SEABORGIUM?

De acordo com a investigação do MSTIC, SEABORGIUM é um grupo APT patrocinado pelo estado russo que opera em campo desde pelo menos 2017. A análise mostra semelhanças significativas em táticas e ferramentas com o APT COLDRIVER e o Grupo Callisto, ambos estreitamente alinhados com os interesses políticos de Moscou.

Agindo em nome do estado russo, o APT SEABORGIUM é responsável por múltiplas campanhas maliciosas duradouras voltadas a espionar contratantes de defesa, agências governamentais, organizações não governamentais e think tanks em toda a Europa.

Tipicamente, os adversários infiltram-se na organização-alvo gradualmente e com cuidado, com o auxílio de várias técnicas de personificação, phishing e engenharia social. Especificamente, o APT SEABORGIUM colocou muito esforço em inspecionar as identidades das vítimas através do estabelecimento de relações e conversas duradouras via contas falsas de mídia social. Essas contas falsas são posteriormente usadas para disseminar anexos PDF maliciosos ou links de phishing para documentos armadilhados hospedados no OneDrive. Se indivíduos-alvo caem na armadilha e abrem o anexo, eles são redirecionados para páginas que executam frameworks de phishing como EvilGinx, que podem capturar credenciais dos usuários. Após acessar os recursos da vítima, o SEABORGIUM exfiltra os dados de inteligência, navega por contas de interesse e despeja informações sensíveis.

Especialistas em cibersegurança são bem-vindos para se inscrever gratuitamente na plataforma Detection as Code da SOC Prime para detectar as ameaças mais recentes, melhorar a fonte de logs e a cobertura MITRE ATT&CK, e contribuir ativamente para aprimorar as capacidades de defesa cibernética de sua organização. Engenheiros de Detecção promissores podem unir forças com o Programa de Threat Bounty – iniciativa de crowdsourcing da SOC Prime, para compartilhar nossa dedicação para cooperar na obtenção de altos padrões de processos de cibersegurança e aumentar a resiliência diante de ameaças continuamente emergentes.